Acerca del contenido de seguridad de watchOS 8.5
En este documento se describe el contenido de seguridad de watchOS 8.5.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
watchOS 8.5
Accelerate Framework
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: la apertura de un archivo PDF diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2022-22633: ryuzaki
AppleAVD
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar una imagen creada con fines maliciosos puede provocar daños en la memoria heap.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.
ImageIO
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2022-22611: Xingyu Jin, de Google
ImageIO
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar una imagen creada con fines maliciosos puede provocar daños en la memoria heap.
Descripción: se ha solucionado un problema de consumo de memoria mejorando la gestión de la memoria.
CVE-2022-22612: Xingyu Jin, de Google
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2022-22596: investigador anónimo
CVE-2022-22640: sqrtpwn
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2022-22613: Alex, investigador anónimo
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2022-22614: investigador anónimo
CVE-2022-22615: investigador anónimo
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación maliciosa podría elevar los privilegios.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2022-22632: Keegan Saunders
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un atacante en una posición privilegiada podría realizar un ataque de denegación de servicio.
Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.
CVE-2022-22638: derrek (@derrekr6)
LaunchServices
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una app creada podría evitar ciertas preferencias de privacidad.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2021-30946: @gorelics, y Ron Masas de BreakPoint.sh
libarchive
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: había varios problemas en libarchive
Descripción: existían varios problemas de corrupción de memoria en libarchive. Se han solucionado estos problemas mejorando la validación de las entradas.
CVE-2021-36976
LLVM
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría eliminar archivos para los que no tiene permiso.
Descripción: se ha solucionado una condición de carrera mediante una validación adicional.
CVE-2022-21658: Florian Weimer (@fweimer)
MediaRemote
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación creada con fines malintencionados podría identificar las aplicaciones que ha instalado un usuario.
Descripción: se ha solucionado un problema de acceso mejorando las restricciones de acceso.
CVE-2022-22670: Brandon Azad
Phone
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un usuario podría omitir la solicitud de código de Emergencia SOS.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-22618: Yicong Ding (@AntonioDing)
Preferences
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación maliciosa podría leer los ajustes de otras aplicaciones.
Descripción: se ha solucionado el problema con comprobaciones de permisos adicionales.
CVE-2022-22609: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) y Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com)
Safari
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones
Descripción: se ha solucionado un problema de la interfaz de usuario.
CVE-2022-22654: Abdullah Md Shaleh de take0ver
Sandbox
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación maliciosa podría evitar ciertas preferencias de privacidad.
Descripción: se ha solucionado el problema mejorando la lógica de los permisos.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) de Primefort Private Limited, Khiem Tran
Siri
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una persona con acceso físico a un dispositivo podría utilizar Siri para obtener información de ubicación desde la pantalla de bloqueo.
Descripción: se ha solucionado un problema de permisos mediante la mejora de la validación.
CVE-2022-22599: Andrew Goldberg, de la Universidad de Texas en Austin, Escuela de negocios McCombs (linkedin.com/andrew-goldberg-/)
UIKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una persona con acceso físico a un dispositivo iOS podría ver información sensible a través de las sugerencias del teclado.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-22621: Joey Hewitt
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría revelar información confidencial del usuario
Descripción: se ha solucionado un problema de gestión de cookies mejorando la gestión del estado.
CVE-2022-22662: Prakash (@1lastBr3ath) de Threat Nix
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar contenido web creado con fines malintencionados podría provocar la ejecución de código.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2022-22610: Quan Yin, del equipo de atención al cliente de Bigo Live (Bigo Technology)
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2022-22624: Kirin (@Pwnrin), de Tencent Security Xuanwu Lab
CVE-2022-22628: Kirin (@Pwnrin), de Tencent Security Xuanwu Lab
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2022-22629: Jeonghoon Shin en Theori trabajando con Trend Micro Zero Day Initiative
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: es posible que un sitio web malicioso provoque un comportamiento en orígenes cruzados inesperado.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2022-22637: Tom McKee de Google
Otros agradecimientos
AirDrop
Queremos dar las gracias a Omar Espino (omespino.com) y Ron Masas, de BreakPoint.sh, por su ayuda.
Bluetooth
Queremos dar las gracias a un investigador anónimo por su ayuda.
Face Gallery
Queremos dar las gracias a Tian Zhang (@KhaosT) por su ayuda.
Safari
Queremos dar las gracias a Konstantin Darutkin, de FingerprintJS (fingerprintjs.com), por su ayuda.
Shortcuts
Queremos dar las gracias a Baibhav Anand Jha, de Streamers Land, por su ayuda.
Siri
Queremos dar las gracias a un investigador anónimo por su ayuda.
syslog
Queremos dar las gracias por su ayuda a Yonghwi Jin (@jinmo123) de Theori.
UIKit
Queremos dar las gracias a Tim Shadel, de Day Logger, Inc., por su ayuda.
Wallet
Queremos dar las gracias a un investigador anónimo por su ayuda.
WebKit
Queremos dar las gracias por su ayuda a Abdullah Md Shaleh.
WebKit Storage
Queremos dar las gracias por su ayuda a Martin Bajanik de FingerprintJS.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.