Acerca del contenido de seguridad de watchOS 10.4

En este documento se describe el contenido de seguridad de watchOS 10.4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

watchOS 10,4

Disponible el 7 de marzo de 2024

Accessibility

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app maliciosa podría observar datos de usuarios en entradas de registro relacionadas con notificaciones de accesibilidad

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2024-23291

AppleMobileFileIntegrity

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría obtener privilegios de alto nivel.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2024-23288: Wojciech Regula de SecuRing (wojciechregula.blog) y Kirin (@Pwnrin)

CoreBluetooth - LE

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a micrófonos conectados por Bluetooth sin permiso del usuario

Descripción: se ha solucionado un problema de acceso mejorando las restricciones de acceso.

CVE-2024-23250: Guilherme Rambo de Best Buddy Apps (rambo.codes)

file

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de un archivo podría generar una denegación de servicio o una posible revelación del contenido de la memoria.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-48554

ImageIO

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2024-23286: Dohyun Lee (@l33d0hyun)

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2024-23235

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: se ha solucionado una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.

CVE-2024-23265: Xinru Chi de Pangu Lab

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir las protecciones de memoria. Apple tiene conocimiento de que este problema se ha explotado.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2024-23225

libxpc

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría salir de su zona protegida.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-23278: investigador anónimo

libxpc

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app puede ser capaz de ejecutar código arbitrario fuera de su entorno aislado o con determinados privilegios elevados.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2024-0258: ali yabuz

MediaRemote

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una aplicación maliciosa podría tener acceso a información privada.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-23297: scj643

Messages

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.

CVE-2024-23287: Kirin (@Pwnrin)

RTKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir las protecciones de memoria. Apple tiene conocimiento de que este problema se ha explotado.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2024-23296

Sandbox

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría filtrar información confidencial del usuario.

Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2024-23290: Wojciech Regula de SecuRing (wojciechregula.blog)

Share Sheet

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2024-23231: Kirin (@Pwnrin) y luckyu (@uuulucky)

Siri

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una persona con acceso físico a un dispositivo podría usar Siri para acceder a información privada del calendario

Descripción: se ha solucionado un problema de bloqueo de pantalla mejorando la gestión del estado.

CVE-2024-23289: Lewis Hardy

Siri

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un atacante con acceso físico puede ser capaz de utilizar Siri para acceder a datos sensibles del usuario

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-23293: Bistrit Dahal

UIKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría salir de su zona protegida.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2024-23246: Deutsche Telekom Security GmbH patrocinada por Bundesamt für Sicherheit en der Informationstechnik

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos de audio en orígenes cruzados

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.

WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: se ha solucionado un problema de lógica mejorando la validación.

WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.

Descripción: se ha solucionado un problema de inyección con la mejora de la validación.

WebKit Bugzilla: 266703
CVE-2024-23280: investigador anónimo

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber y Marco Squarcina

 

Otros agradecimientos

CoreAnimation

Queremos mostrar nuestro agradecimiento por su ayuda a Junsung Lee.

CoreMotion

Queremos mostrar nuestro agradecimiento por su ayuda a Eric Dorphy de Twin Cities App Dev LLC.

Find My

Queremos mostrar nuestro agradecimiento por su ayuda a Meng Zhang (鲸落) de NorthSea.

Kernel

Queremos mostrar nuestro agradecimiento por su ayuda a Tarek Joumaa (@tjkr0wn).

libxml2

Queremos dar las gracias a OSS-Fuzz y Ned Williamson de Google Project Zero por su ayuda.

libxpc

Queremos mostrar nuestro agradecimiento por su ayuda a Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) y un investigador anónimo.

Power Management

Queremos mostrar nuestro agradecimiento por su ayuda a Pan ZhenPeng (@Peterpan0927) of STAR Labs SG Pte. Ltd.

Sandbox

Queremos mostrar nuestro agradecimiento por su ayuda a Zhongquan Li (@Guluisacat).

Siri

Queremos mostrar nuestro agradecimiento por su ayuda a Bistrit Dahal.

Software Update

Queremos mostrar nuestro agradecimiento por su ayuda a Bin Zhang de Dublin City University.

WebKit

Queremos mostrar nuestro agradecimiento por su ayuda a Nan Wang (@eternalsakura13) of 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina y Lorenzo Veronese de TU Wien.

 

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: