Acerca del contenido de seguridad de watchOS 26.4

En este documento se describe el contenido de seguridad de watchOS 26.4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

watchOS 26.4

802.1X

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un atacante con una posición de red privilegiada podría ser capaz de interceptar el tráfico de red

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2026-28865: Héloïse Gollier y Mathy Vanhoef (KU Leuven)

Accounts

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2026-28877: Rosyna Keller de Totally Not Malicious Software

Audio

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-28879: Justin Cohen de Google

Audio

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un atacante podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

CVE-2026-28822: Jex Amro

CoreMedia

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de un flujo de audio en un archivo multimedia creado con fines malintencionados puede detener el proceso

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2026-20690: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreUtils

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un usuario que se encontrase en una posición de red privilegiada podría causar una denegación de servicio

Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.

CVE-2026-28886: Etienne Charron (Renault) y Victoria Martini (Renault)

Crash Reporter

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.

Descripción: se ha solucionado un problema de privacidad eliminando datos confidenciales.

CVE-2026-28878: Zhongcheng Li de IES Red Team

curl

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: había un problema en curl que podía provocar que se enviara información confidencial de forma no intencionada a través de una conexión incorrecta

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2025-14524

GeoServices

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se solucionó una filtración de información mediante una validación adicional.

CVE-2026-28870: XiguaSec

ImageIO

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2025-64505

Kernel

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2026-28868: 이동하 (Lee Dong Ha de BoB 0xB6)

Kernel

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: el problema se ha solucionado mejorando la autenticación.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2026-28882: Ilias Morad (A2nkF) de Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría utilizar la huella digital del usuario

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un atacante local podría obtener acceso a los ítems del llavero de un usuario.

Descripción: se ha solucionado el problema mejorando la comprobación de los permisos.

CVE-2026-28864: Alex Radocea

Siri

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un atacante con acceso físico a un dispositivo bloqueado podría ver información confidencial de los usuarios.

Descripción: el problema se ha solucionado mejorando la autenticación.

CVE-2026-28856: un investigador anónimo

UIFoundation

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una aplicación podría provocar una denegación de servicio.

Descripción: se ha solucionado un desbordamiento de pila mejorando la validación de entrada.

CVE-2026-28852: Caspian Tarafdar

WebKit

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2026-20665: webb

WebKit

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un sitio web con fines malintencionados podía procesar contenido web restringido fuera del entorno de pruebas

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Otros agradecimientos

AirPort

Queremos dar las gracias a Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari y Omid Rezaii por su ayuda.

Bluetooth

Queremos dar las gracias a Hamid Mahmoud por su ayuda.

Captive Network

Nos gustaría agradecer a Kun Peeks (@SwayZGl1tZyyy) por su ayuda.

CloudAttestation

Queremos dar las gracias a Suresh Sundaram y Willard Jansen por su ayuda.

CoreUI

Queremos dar las gracias a Peter Malone por su ayuda.

Find My

Queremos dar las gracias a Salemdomain por su ayuda.

GPU Drivers

Queremos dar las gracias a Jian Lee (@speedyfriend433) por su ayuda.

ICU

Queremos dar las gracias a Jian Lee (@speedyfriend433) por su ayuda.

Kernel

Queremos dar las gracias a DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville de Fuzzinglabs, Patrick Ventuzelo de Fuzzinglabs, Robert Tran y Suresh Sundaram por su ayuda.

libarchive

Queremos dar las gracias a Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs y a Arni Hardarson por su ayuda.

libc

Queremos dar las gracias a Vitaly Simonovich por su ayuda.

Libnotify

Queremos dar las gracias a Ilias Morad (@A2nkF_) por su ayuda.

LLVM

Queremos dar las gracias a Nathaniel Oh (@calysteon) por su ayuda.

Messages

Queremos dar las gracias a JZ por su ayuda.

MobileInstallation

Queremos dar las gracias a Gongyu Ma (@Mezone0) por su ayuda.

ppp

Queremos dar las gracias a Dave G. por su ayuda.

Quick Look

Queremos dar las gracias a Wojciech Regula de SecuRing (wojciechregula.blog), un investigador anónimo, por su ayuda.

Safari

Queremos dar las gracias a @RenwaX23, Farras Givari, Syarif Muhammad Sajjad y Yair por su ayuda.

Shortcuts

Queremos dar las gracias a Waleed Barakat (@WilDN00B) y Paul Montgomery (@nullevent) por su ayuda.

Siri

Queremos dar las gracias a Anand Mallaya, asesor tecnológico, Anand Mallaya y compañía, Harsh Kirdolia y Hrishikesh Parmarm, autónomos, por su ayuda.

Spotlight

Queremos dar las gracias a Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group y Zack Tickman por su ayuda.

Time Zone

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India por su ayuda.

UIKit

Queremos dar las gracias a AEC, Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (Departamento de la Armada de EE. UU.), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 e incredincomp por su ayuda.

Wallet

Queremos dar las gracias a Zhongcheng Li de IES Red Team of ByteDance por su ayuda.

Web Extensions

Queremos dar las gracias a Carlos Jeurissen y Rob Wu (robwu.nl) por su ayuda.

WebKit

Queremos dar las gracias a Vamshi Paili por su ayuda.

WebKit Process Model

Queremos dar las gracias a Joseph Semaan por su ayuda.

Wi-Fi

Queremos dar las gracias a Kun Peeks (@SwayZGl1tZyyy) y a un investigador anónimo por su ayuda.

Wi-Fi Connectivity

Queremos dar las gracias a Alex Radocea de Supernetworks por su ayuda.

Widgets

Queremos dar las gracias a Marcel Voß, Mitul Pranjay y Serok Çelik por su ayuda.