Acerca del contenido de seguridad de watchOS 9

En este documento se describe el contenido de seguridad de watchOS 9.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

watchOS 9

Publicado el 12 de septiembre de 2022

Accelerate Framework

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de consumo de memoria mejorando la gestión de la memoria.

CVE-2022-42795: ryuzaki

AppleAVD

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32907: Natalie Silvanovich de Google Project Zero, Antonio Zekic (@antoniozekic) y John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Apple Neural Engine

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Contacts

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app creada podría evitar las preferencias de privacidad.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32854: Holger Fuhrmannek de Deutsche Telekom Security

Exchange

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un usuario que se encontrase en una posición de red privilegiada podría interceptar las credenciales de correo.

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) de Check Point Research

Entrada actualizada el 8 de junio de 2023

GPU Drivers

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2022-32903: investigador anónimo

ImageIO

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: procesar una imagen podría provocar una denegación de servicio.

Descripción: se ha solucionado un problema de denegación de servicio mediante la mejora de la validación.

CVE-2022-1622

Image Processing

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una aplicación de una zona protegida podría determinar qué aplicación está utilizando la cámara.

Descripción: el problema se solucionó con restricciones adicionales para la observabilidad de los estados de la aplicación.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32864: Linus Henze de Pinauten GmbH (pinauten.de)

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32866: Linus Henze de Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig of Kunlun Lab

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2022-32914: Zweig de Kunlun Lab

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel. Apple tiene conocimiento de que este problema se ha explotado activamente.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2022-32894: investigador anónimo

Maps

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: es posible que una app pueda leer información de ubicación confidencial

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2022-32883: Ron Masas de breakpointhq.com

MediaLibrary

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un usuario podría ser capaz de elevar los privilegios

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2022-32908: investigador anónimo

Notifications

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un usuario con acceso físico a un dispositivo podría acceder a los contactos desde la pantalla bloqueada.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2022-32879: Ubeydullah Sümer

Sandbox

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2022-32881: Csaba Fitzl (@theevilbit) de Offensive Security

Siri

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un usuario con acceso físico a un dispositivo podría usar Siri para obtener información sobre el historial de llamadas.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2022-32870: Andrew Goldberg de The McCombs School of Business, Universidad de Texas en Austin (linkedin.com/in/andrew-goldberg-/)

SQLite

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un usuario remoto podría causar una denegación de servicio.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2021-36690

Watch app

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una aplicación podría ser capaz de leer un identificador de dispositivo persistente

Descripción: este problema se ha solucionado mejorando las certificaciones.

CVE-2022-32835: Guilherme Rambo de Best Buddy Apps (rambo.codes)

Weather

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: es posible que una app pueda leer información de ubicación confidencial

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2022-32875: investigador anónimo

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) en Theori trabajando con Trend Micro Zero Day Initiative

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: visitar un sitio web que incluye contenido malintencionado podría provocar la suplantación de la interfaz del usuario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, un investigador anónimo

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario. Apple tiene conocimiento de que este problema se ha explotado activamente.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

WebKit Bugzilla: 243557
CVE-2022-32893: investigador anónimo

Wi-Fi

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2022-46709: Wang Yu de Cyberserval

Entrada añadida el 8 de junio de 2023

Wi-Fi

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2022-32925: Wang Yu de Cyberserval

Otros agradecimientos

AppleCredentialManager

Nos gustaría dar las gracias a @jonathandata1 por su ayuda.

FaceTime

Queremos dar las gracias a un investigador anónimo por su ayuda.

Kernel

Queremos dar las gracias a un investigador anónimo por su ayuda.

Mail

Queremos dar las gracias a un investigador anónimo por su ayuda.

Safari

Nos gustaría dar las gracias a Scott Hatfield de Sub-Zero Group por su ayuda.

Entrada añadida el 8 de junio de 2023

Sandbox

Queremos dar las gracias por su ayuda a Csaba Fitzl (@theevilbit) de Offensive Security.

UIKit

Queremos dar las gracias a Aleczander Ewing por su ayuda.

WebKit

Queremos dar las gracias a un investigador anónimo por su ayuda.

WebRTC

Queremos dar las gracias a un investigador anónimo por su ayuda.

 

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: