Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
watchOS 9
Publicado el 12 de septiembre de 2022
Accelerate Framework
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de consumo de memoria mejorando la gestión de la memoria.
CVE-2022-42795: ryuzaki
AppleAVD
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32907: Natalie Silvanovich de Google Project Zero, Antonio Zekic (@antoniozekic) y John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Apple Neural Engine
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría filtrar información confidencial sobre el estado del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Contacts
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32854: Holger Fuhrmannek de Deutsche Telekom Security
Exchange
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un usuario que se encontrase en una posición de red privilegiada podría interceptar las credenciales de correo.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) de Check Point Research
Entrada actualizada el 8 de junio de 2023
GPU Drivers
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2022-32903: investigador anónimo
ImageIO
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: procesar una imagen podría provocar una denegación de servicio.
Descripción: se ha solucionado un problema de denegación de servicio mediante la mejora de la validación.
CVE-2022-1622
Image Processing
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una aplicación de una zona protegida podría determinar qué aplicación está utilizando la cámara.
Descripción: el problema se solucionó con restricciones adicionales para la observabilidad de los estados de la aplicación.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32864: Linus Henze de Pinauten GmbH (pinauten.de)
Kernel
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32866: Linus Henze de Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig of Kunlun Lab
Kernel
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2022-32914: Zweig de Kunlun Lab
Kernel
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel. Apple tiene conocimiento de que este problema se ha explotado activamente.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2022-32894: investigador anónimo
Maps
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: es posible que una app pueda leer información de ubicación confidencial
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2022-32883: Ron Masas de breakpointhq.com
MediaLibrary
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un usuario podría ser capaz de elevar los privilegios
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2022-32908: investigador anónimo
Notifications
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un usuario con acceso físico a un dispositivo podría acceder a los contactos desde la pantalla bloqueada.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2022-32881: Csaba Fitzl (@theevilbit) de Offensive Security
Siri
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un usuario con acceso físico a un dispositivo podría usar Siri para obtener información sobre el historial de llamadas.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2022-32870: Andrew Goldberg de The McCombs School of Business, Universidad de Texas en Austin (linkedin.com/in/andrew-goldberg-/)
SQLite
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un usuario remoto podría causar una denegación de servicio.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2021-36690
Watch app
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una aplicación podría ser capaz de leer un identificador de dispositivo persistente
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2022-32835: Guilherme Rambo de Best Buddy Apps (rambo.codes)
Weather
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: es posible que una app pueda leer información de ubicación confidencial
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2022-32875: investigador anónimo
WebKit
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)
WebKit
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) en Theori trabajando con Trend Micro Zero Day Initiative
WebKit
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: visitar un sitio web que incluye contenido malintencionado podría provocar la suplantación de la interfaz del usuario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, un investigador anónimo
WebKit
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario. Apple tiene conocimiento de que este problema se ha explotado activamente.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
WebKit Bugzilla: 243557
CVE-2022-32893: investigador anónimo
Wi-Fi
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2022-46709: Wang Yu de Cyberserval
Entrada añadida el 8 de junio de 2023
Wi-Fi
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2022-32925: Wang Yu de Cyberserval
Otros agradecimientos
AppleCredentialManager
Nos gustaría dar las gracias a @jonathandata1 por su ayuda.
FaceTime
Queremos dar las gracias a un investigador anónimo por su ayuda.
Kernel
Queremos dar las gracias a un investigador anónimo por su ayuda.
Queremos dar las gracias a un investigador anónimo por su ayuda.
Safari
Nos gustaría dar las gracias a Scott Hatfield de Sub-Zero Group por su ayuda.
Entrada añadida el 8 de junio de 2023
Sandbox
Queremos dar las gracias por su ayuda a Csaba Fitzl (@theevilbit) de Offensive Security.
UIKit
Queremos dar las gracias a Aleczander Ewing por su ayuda.
WebKit
Queremos dar las gracias a un investigador anónimo por su ayuda.
WebRTC
Queremos dar las gracias a un investigador anónimo por su ayuda.