Acerca del contenido de seguridad de watchOS 8
En este documento se describe el contenido de seguridad de watchOS 8.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
watchOS 8
Accessory Manager
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de consumo de memoria mejorando la gestión de la memoria.
CVE-2021-30837: Siddharth Aeri (@b1n4r1b01)
AppleMobileFileIntegrity
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un atacante local podría leer información sensible.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2021-30811: investigador anónimo en colaboración con Compartir
bootp
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un dispositivo podía ser rastreado de forma pasiva por su dirección MAC wifi.
Descripción: se ha solucionado un problema de privacidad del usuario eliminando la dirección MAC de transmisión.
CVE-2021-30866: Fabien Duchêne of UCLouvain (Bélgica)
CoreAudio
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar un archivo de audio creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o una ejecución arbitraria de código.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2021-30834: JunDong Xie de Ant Security Light-Year Lab
CoreGraphics
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2021-30928: Mickey Jin (@patch1t) de Trend Micro
FaceTime
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación con permiso de micrófono podría acceder inesperadamente a la entrada del micrófono durante una llamada de FaceTime.
Descripción: se ha solucionado un problema de lógica mejorando la validación.
CVE-2021-30882: Adam Bellard y Spencer Reitman de Airtime
FontParser
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2021-30831: Xingwei Lin de Ant Security Light-Year Lab
FontParser
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de un archivo dfont creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2021-30840: Xingwei Lin de Ant Security Light-Year Lab
FontParser
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de un archivo dfont creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2021-30841: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-30842: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-30843: Xingwei Lin de Ant Security Light-Year Lab
Foundation
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.
CVE-2021-30852: Yinyi Wu (@3ndy1) de Ant Security Light-Year Lab
ImageIO
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2021-30814: hjy79425575
ImageIO
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2021-30835: Ye Zhang de Baidu Security
CVE-2021-30847: Mike Zhang de Pangu Lab
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado una condición de carrera con una mejora del bloqueo.
CVE-2021-30857: Manish Bhatt de Red Team X @Meta y Zweig de Kunlun Lab
libexpat
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: este problema se ha solucionado actualizando a la versión 2.4.1 de expat.
CVE-2013-0340: un investigador anónimo
Preferences
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría tener acceso a archivos restringidos
Descripción: había un problema de validación en la gestión de los enlaces simbólicos. Se ha resuelto este problema mejorando la validación de los enlaces simbólicos.
CVE-2021-30855: Zhipeng Huo (@R3dF09) y Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com)
Preferences
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2021-30854: Zhipeng Huo (@R3dF09) y Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com)
Sandbox
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación maliciosa podría sortear las preferencias de privacidad.
Descripción: se ha solucionado el problema mejorando la lógica de los permisos.
CVE-2021-30925: Csaba Fitzl (@theevilbit) de Offensive Security
Sandbox
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación malintencionada podría ser capaz de modificar las partes protegidas del sistema de archivos
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2021-30808: Csaba Fitzl (@theevilbit) de Offensive Security
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: la visita a un sitio web creado con fines malintencionados podría revelar el historial de navegación.
Descripción: el problema se ha resuelto con restricciones adicionales en la composición de CSS.
CVE-2021-30884: un investigador anónimo
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión del estado.
CVE-2021-30818: Amar Menezes (@amarekano) de Zon8Research
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un atacante con una posición de red privilegiada podría ser capaz de eludir la HSTS.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2021-30823: David Gullasch de Recurity Labs
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar un archivo de audio creado con fines malintencionados podría mostrar memoria restringida.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2021-30836: Peter Nguyen Vu Hoang de STAR Labs
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2021-30809: un investigador anónimo
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2021-30846: Sergei Glazunov de Google Project Zero
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2021-30849: Sergei Glazunov de Google Project Zero
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar contenido web creado con fines malintencionados podría provocar la ejecución de código.
Descripción: se trató una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.
CVE-2021-30851: Samuel Groß de Google Project Zero
Wi-Fi
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un atacante próximo físicamente podría forzar a un usuario a conectarse a una red wifi creada con fines malintencionados durante la configuración del dispositivo.
Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.
CVE-2021-30810: Peter Scott
Otros agradecimientos
bootp
Nos gustaría dar las gracias por su ayuda a Alexander Burke (alexburke.ca).
FaceTime
Nos gustaría dar las gracias a Mohammed Waqqas Kakangarai por su ayuda.
Kernel
Nos gustaría expresar nuestro agradecimiento a Joshua Baums de Informatik Baums por su ayuda.
Sandbox
Queremos dar las gracias por su ayuda a Csaba Fitzl (@theevilbit) de Offensive Security.
UIKit
Nos gustaría dar las gracias a Jason Rendel de Diligent por su ayuda.
UIKit
Nos gustaría dar las gracias a Jason Rendel de Diligent por su ayuda.
WebKit
Queremos dar las gracias a Nikhil Mittal (@c0d3G33k) por su ayuda.
Wi-Fi
Nos gustaría dar las gracias a Peter Scott por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.