Acerca del contenido de seguridad de watchOS 10.4

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

Publicado el martes 7 de marzo de 2024

Accessibility

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app creada con fines malintencionados podría observar los datos de usuarios para las entradas de registro relacionadas con las notificaciones de accesibilidad.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2024-23291

AppleMobileFileIntegrity

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría obtener privilegios de alto nivel.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2024-23288: Wojciech Regula de SecuRing (wojciechregula.blog) y Kirin (@Pwnrin)

CoreBluetooth - LE

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría ser capaz de acceder a los micrófonos conectados por Bluetooth sin permiso del usuario.

Descripción: se ha solucionado un problema de acceso mejorando las restricciones de acceso.

CVE-2024-23250: Guilherme Rambo, de Best Buddy Apps (rambo.codes)

file

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de un archivo podría generar una denegación de servicio o una posible revelación del contenido de la memoria.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-48554

ImageIO

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2024-23286: Junsung Lee en colaboración con Trend Micro Zero Day Initiative, Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun), y Lyutoon y Mr.R

Entrada actualizada el 31 de mayo de 2024

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2024-23235

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: se ha solucionado una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.

CVE-2024-23265: Xinru Chi de Pangu Lab

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir las protecciones de la memoria del kernel. Apple tiene conocimiento de que este problema se ha explotado.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2024-23225

libxpc

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría salir de su zona protegida.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-23278: investigador anónimo

libxpc

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría ser capaz de ejecutar código arbitrario fuera de su entorno aislado o con determinados privilegios elevados.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2024-0258: ali yabuz

MediaRemote

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una aplicación creada con fines malintencionados podría tener acceso a información privada.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-23297: scj643

Messages

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.

CVE-2024-23287: Kirin (@Pwnrin)

RTKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir las protecciones de la memoria del kernel. Apple tiene conocimiento de que este problema se ha explotado.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2024-23296

Sandbox

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría filtrar información confidencial del usuario.

Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2024-23290: Wojciech Reguła de SecuRing (wojciechregula.blog)

Share Sheet

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2024-23231: Kirin (@Pwnrin) y luckyu (@uuulucky)

Siri

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una persona con acceso físico a un dispositivo podría usar Siri para acceder a información privada del calendario.

Descripción: se ha solucionado un problema de bloqueo de pantalla mejorando la gestión del estado.

CVE-2024-23289: Lewis Hardy

Siri

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un atacante con acceso físico puede ser capaz de utilizar Siri para acceder a datos sensibles del usuario

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-23293: Bistrit Dahal

UIKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría salir de su zona protegida.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2024-23246: Deutsche Telekom Security GmbH con el patrocinio de Bundesamt für Sicherheit in der Informationstechnik

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: procesar contenido web podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos de audio en orígenes cruzados

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.

WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: se ha solucionado un problema de lógica mejorando la validación.

WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.

Descripción: se ha solucionado un problema de inyección con la mejora de la validación.

WebKit Bugzilla: 266703
CVE-2024-23280: investigador anónimo

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber y Marco Squarcina

CoreAnimation

Queremos dar las gracias a Junsung Lee por su ayuda.

CoreMotion

Queremos dar las gracias a Eric Dorphy de Twin Cities App Dev LLC por su ayuda.

Find My

Queremos dar las gracias a Meng Zhang (鲸落) de NorthSea por su ayuda.

Kernel

Queremos mostrar nuestro agradecimiento por su ayuda a Tarek Joumaa (@tjkr0wn).

libxml2

Queremos dar las gracias a OSS-Fuzz y Ned Williamson de Google Project Zero por su ayuda.

libxpc

Queremos dar las gracias a Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) y un investigador anónimo por su ayuda.

Power Management

Queremos dar las gracias a Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., por su ayuda.

Sandbox

Queremos dar las gracias a Zhongquan Li (@Guluisacat) por su ayuda.

Siri

Queremos dar las gracias a Bristit Dahal por su ayuda.

Software Update

Queremos dar las gracias a Bin Zhang de la Dublin City University por su ayuda.

WebKit

Queremos dar las gracias a Nan Wang (@eternalsakura13) de 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina y Lorenzo Veronese de TU Wien por su ayuda.