Acerca del contenido de seguridad de watchOS 10.2

En este documento se describe el contenido de seguridad de watchOS 10.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

watchOS 10.2

Accessibility

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2023-42937: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)

Accounts

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2023-42919: Kirin (@Pwnrin)

ImageIO

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-42898: Zhenjiang Zhao de Pangu Team, Qianxin y Junsung Lee

CVE-2023-42899: Meysam Firouzi @R00tkitSMM y Junsung Lee

ImageIO

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-42888: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv)

Libsystem

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: se ha solucionado un problema de permisos eliminando código vulnerable y añadiendo comprobaciones adicionales.

CVE-2023-42893

Sandbox

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2023-42936: Csaba Fitzl (@theevilbit) de OffSec

TCC

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.

CVE-2023-42947: Zhongquan Li (@Guluisacat) de Dawn Security Lab de JingDong

Transparency

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: el problema se solucionó con una restricción mejorada del acceso al contenedor de datos.

CVE-2023-40389: Csaba Fitzl (@theevilbit) de Offensive Security y Joshua Jewett (@JoshJewett33)

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: procesar contenido web podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-42890: Pwn2car

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: procesar una imagen podría provocar una denegación de servicio.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-42883: Zoom Offensive Security Team

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: procesar contenidos web podría revelar información confidencial. Apple está al tanto de un informe que indica que este problema puede haberse usado contra versiones de iOS publicadas antes de iOS 16.7.1.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2023-42916: Clément Lecigne del Threat Analysis Group de Google

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de contenido web puede provocar la ejecución de código arbitrario. Apple está al tanto de un informe que indica que este problema puede haberse usado contra versiones de iOS publicadas antes de iOS 16.7.1.

Descripción: se ha solucionado una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.

CVE-2023-42917: Clément Lecigne del Grupo de análisis de amenazas de Google

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2023-42950: Nan Wang (@eternalsakura13) de 360 Vulnerability Research Institute y Rushikesh Nandedkar

Otros agradecimientos

Wi-Fi

Queremos dar las gracias a Noah Roskin-Frazee y al profesor J. (ZeroClicks.ai Lab) por su ayuda.