Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
watchOS 10.1
Disponible el 25 de octubre de 2023
Core Recents
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: se ha resuelto el problema limpiando los registros
CVE-2023-42823
Entrada añadida el 16 de febrero de 2024
Find My
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.
CVE-2023-40413: Adam M.
Find My
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de privacidad mejorando la gestión de los archivos.
CVE-2023-42834: Csaba Fitzl (@theevilbit) de Offensive Security
Entrada añadida el 16 de febrero de 2024
Game Center
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol
Entrada añadida el 16 de febrero de 2024
ImageIO
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: procesar una imagen creada con fines maliciosos puede provocar daños en la memoria heap.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2023-42848: JZ
Entrada añadida el 16 de febrero de 2024
Kernel
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un atacante que haya conseguido ejecutar el código de kernel puede ser capaz de omitir las soluciones de la memoria del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42849: Linus Henze de Pinauten GmbH (pinauten.de)
libxpc
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app creada con fines malintencionados podría ser capaz de obtener privilegios de raíz.
Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.
CVE-2023-42942: Mickey Jin (@patch1t)
Entrada añadida el 16 de febrero de 2024
Mail Drafts
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: ocultar mi correo electrónico puede desactivarse de forma inesperada.
Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: la dirección MAC wifi de un dispositivo podría hacer un seguimiento pasivo de este.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-42846: Talal Haj Bakry y Tommy Mysk de Mysk Inc. @mysk_co
Sandbox
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: este problema se ha solucionado con la mejora de la gestión del estado.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Entrada añadida el 16 de febrero de 2024
Share Sheet
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula de SecuRing (wojciechregula.blog) y Cristian Dinca de "Tudor Vianu" National High School of Computer Science, Rumanía
Entrada añadida el 16 de febrero de 2024
Siri
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un atacante con acceso físico puede ser capaz de utilizar Siri para acceder a datos sensibles del usuario
Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Entrada actualizada el 16 de febrero de 2024
Siri
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría filtrar información confidencial del usuario.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42946
Entrada añadida el 16 de febrero de 2024
Weather
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-41254: Cristian Dinca del Tudor Vianu National High School of Computer Science, Rumanía
WebKit
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) de Cross Republic
WebKit
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성 (Junsung Lee)
WebKit
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) y Vitor Pedreira (@0xvhp_) de Agile Information Security
Entrada actualizada el 16 de febrero de 2024
Otros agradecimientos
VoiceOver
Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India.
WebKit
Queremos dar las gracias a un investigador anónimo por su ayuda.