Acerca del contenido de seguridad de watchOS 8.7
En este documento, se describe el contenido de seguridad de watchOS 8.7.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que es posible.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.
watchOS 8.7
APFS
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app con privilegios de usuario raíz pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Este problema se solucionó mejorando el manejo de la memoria.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que un usuario remoto pueda ocasionar la ejecución del código del kernel
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2022-32788: Natalie Silvanovich de Google Project Zero
AppleAVD
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app pueda divulgar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2022-32824: Antonio Zekic (@antoniozekic) y John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app pueda obtener privilegios de usuario raíz
Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.
CVE-2022-32826: Mickey Jin (@patch1t) de Trend Micro
Apple Neural Engine
Disponible para dispositivos con Apple Neural Engine: Apple Watch Series 4 y modelos posteriores
Impacto: Es posible que una app pueda salir de su zona protegida
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-32845: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponible para dispositivos con Apple Neural Engine: Apple Watch Series 4 y modelos posteriores
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-32840: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponible para dispositivos con Apple Neural Engine: Apple Watch Series 4 y modelos posteriores
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2022-32810: Mohamed Ghannam (@_simo36)
Audio
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2022-32820: Un investigador anónimo
Audio
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app pueda divulgar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreText
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que un usuario remoto pueda provocar el cierre inesperado de una app o la ejecución de código arbitrario
Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app pueda obtener privilegios de usuario raíz
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2022-32819: Joshua Mason de Mandiant
GPU Drivers
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app pueda divulgar la memoria del kernel
Descripción: Se mejoró la comprobación de límites para solucionar varios problemas de escritura fuera de los límites.
CVE-2022-32793: Un investigador anónimo
GPU Drivers
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.
CVE-2022-32821: John Aakerblom (@jaakerblom)
ICU
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar la ejecución de código arbitrario
Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Universidad de Corea
ImageIO
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda provocar la divulgación de la memoria de un proceso
Descripción: Este problema se solucionó mejorando el manejo de la memoria.
CVE-2022-32841: hjy79425575
JavaScriptCore
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que el procesamiento de contenido web creado pueda provocar la ejecución de código arbitrario
Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.
CVE-2022-48503: Dongzhuo Zhao junto con ADLab de Venustech y ZhaoHai de Cyberpeace Tech Co., Ltd.
Kernel
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app con privilegios de usuario raíz pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Este problema se solucionó mejorando el manejo de la memoria.
CVE-2022-32813: Xinru Chi de Pangu Lab
CVE-2022-32815: Xinru Chi de Pangu Lab
Kernel
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app pueda divulgar la memoria del kernel
Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.
CVE-2022-32817: Xinru Chi de Pangu Lab
Kernel
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app con una función de lectura y escritura arbitraria del kernel pueda omitir la autenticación del puntero
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app pueda provocar el cierre inesperado de una app o la ejecución de código arbitrario
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC de China (nipc.org.cn)
libxml2
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app pueda divulgar información confidencial del usuario
Descripción: Se mejoró el manejo de la memoria para solucionar un problema en su inicialización.
CVE-2022-32823
Multi-Touch
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoraron las comprobaciones para solucionar un problema de tipo confusión.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Multi-Touch
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró el manejo de estados para solucionar un problema de confusión de tipo.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que un usuario con una posición de red privilegiada pueda dar seguimiento a la actividad de un usuario
Descripción: Este problema se solucionó usando HTTPS al enviar información a través de la red.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar la ejecución de código arbitrario
Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) y xmzyshypnc(@xmzyshypnc1)
WebKit
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que visitar un sitio web con contenido malicioso pueda provocar una suplantación en la interfaz del usuario
Descripción: Este problema se solucionó mejorando el manejo de IU.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Universidad de Corea
WebKit
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar la ejecución de código arbitrario
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2022-32792: Manfred Paul (@_manfp) en colaboración con Trend Micro Zero Day Initiative
Wi-Fi
Disponible para Apple Watch Series 3 y modelos posteriores
Impacto: Es posible que un usuario remoto pueda provocar el cierre inesperado del sistema o daños en la memoria del kernel
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-32847: Wang Yu de Cyberserval
Otros agradecimientos
AppleMobileFileIntegrity
Nos gustaría agradecer a Csaba Fitzl (@theevilbit) de Offensive Security, Mickey Jin (@patch1t) de Trend Micro y Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.
configd
Nos gustaría agradecer a Csaba Fitzl (@theevilbit) de Offensive Security, Mickey Jin (@patch1t) de Trend Micro y Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.