Acerca del contenido de seguridad de watchOS 8.7

En este documento se describe el contenido de seguridad de watchOS 8.7.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

watchOS 8.7

APFS

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app con privilegios de raíz podría ser capaz de ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleAVD

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: un usuario remoto podría causar la ejecución de código del núcleo.

Descripción: se ha solucionado un problema de desbordamiento de búfer mediante la mejora de la comprobación de límites.

CVE-2022-32788: Natalie Silvanovich de Google Project Zero

AppleAVD

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32824: Antonio Zekic (@antoniozekic) y John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2022-32826: Mickey Jin (@patch1t) de Trend Micro

Apple Neural Engine

Disponible para dispositivos con Apple Neural Engine: Apple Watch Series 4 y versiones posteriores

Impacto: una app podría salir de su zona protegida.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32845: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Disponible para dispositivos con Apple Neural Engine: Apple Watch Series 4 y versiones posteriores

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32840: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Disponible para dispositivos con Apple Neural Engine: Apple Watch Series 4 y versiones posteriores

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32810: Mohamed Ghannam (@_simo36)

Audio

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.

CVE-2022-32820: un investigador anónimo

Audio

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32825: John Aakerblom (@jaakerblom)

CoreText

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: un usuario remoto podría hacer que una app se cierre de forma inesperada o se ejecute código arbitrario.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2022-32839: STAR Labs (@starlabs_sg)

File System Events

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2022-32819: Joshua Mason de Mandiant

GPU Drivers

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se han solucionado varios problemas de escritura fuera de límites mediante la mejora de la comprobación de límites.

CVE-2022-32793: un investigador anónimo

GPU Drivers

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2022-32821: John Aakerblom (@jaakerblom)

ICU

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Univ. de Corea

ImageIO

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32841: hjy79425575

JavaScriptCore

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2022-48503: Dongzhuo Zhao en colaboración con ADLab de Venustech y ZhaoHai de Cyberpeace Tech Co., Ltd.

Kernel

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app con privilegios de raíz podría ser capaz de ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32813: Xinru Chi de Pangu Lab

CVE-2022-32815: Xinru Chi de Pangu Lab

Kernel

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la comprobación de los límites.

CVE-2022-32817: Xinru Chi de Pangu Lab

Kernel

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir la autenticación de puntero.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)

Liblouis

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app podría hacer que una app se cierre de forma inesperada o se ejecute código arbitrario.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC de China continental (nipc.org.cn)

libxml2

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app podría filtrar información confidencial del usuario.

Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.

CVE-2022-32823

Multi-Touch

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Multi-Touch

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión del estado.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Software Update

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: un usuario con una posición de red con privilegios puede rastrear la actividad de un usuario.

Descripción: este problema se ha solucionado mediante el uso de HTTPS al enviar información a través de la red.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

WebKit

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) y xmzyshypnc(@xmzyshypnc1)

WebKit

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: visitar un sitio web que incluye contenido malintencionado podría provocar la suplantación de la interfaz del usuario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.

CVE-2022-32816: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Univ. de Corea

WebKit

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.

CVE-2022-32792: Manfred Paul (@_manfp) en colaboración con Zero Day Initiative de Trend Micro

Wi-Fi

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: un usuario remoto podría provocar el cierre inesperado del sistema o dañar la memoria del kernel.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32847: Wang Yu, de Cyberserval

Otros agradecimientos

AppleMobileFileIntegrity

Queremos dar las gracias a Csaba Fitzl (@theevilbit) de Offensive Security, a Mickey Jin (@patch1t) de Trend Micro y a Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.

configd

Queremos dar las gracias a Csaba Fitzl (@theevilbit) de Offensive Security, a Mickey Jin (@patch1t) de Trend Micro y a Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.