Acerca del contenido de seguridad de watchOS 8.4

En este documento se describe el contenido de seguridad de watchOS 8.4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

watchOS 8.4

ColorSync

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: procesar un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2022-22584: Mickey Jin (@patch1t) de Trend Micro

Crash Reporter

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una aplicación creada con fines malintencionados podría ser capaz de obtener privilegios de raíz

Descripción: se ha solucionado un problema de lógica mejorando la validación.

CVE-2022-22578: Zhipeng Huo (@R3dF09) y Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com)

iCloud

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una aplicación podría tener acceso a archivos del usuario.

Descripción: había un problema en la lógica de la validación de las rutas de los enlaces simbólicos. Este problema se ha solucionado mejorando el saneamiento de las rutas.

CVE-2022-22585: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (https://xlab.tencent.com)

Kernel

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2022-22593: Peter Nguyễn Vũ Hoàng de STAR Labs

WebKit

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2022-22590: Toan Pham de Team Orca en Sea Security (security.sea.com)

WebKit

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2022-22592: Prakash (@1lastBr3ath)

WebKit

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: el procesamiento de un mensaje de correo electrónico creado con fines malintencionados podría provocar la ejecución de JavaScript arbitrario.

Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.

CVE-2022-22589: Heige de KnownSec 404 Team (knownsec.com) y Bo Qu de Palo Alto Networks (paloaltonetworks.com)

WebKit Storage

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: un sitio web podría rastrear información confidencial sobre los usuarios.

Descripción: se ha solucionado un problema entre orígenes en la API IndexDB mejorando la validación de las entradas.

CVE-2022-22594: Martin Bajanik de FingerprintJS

Otros agradecimientos

WebKit

Queremos dar las gracias por su ayuda a Prakash (@1lastBr3ath) y bo13oy de Cyber Kunlun Lab.