Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
watchOS 10.5
Publicado el 13 de mayo de 2024
AppleAVD
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una aplicación puede provocar una terminación inesperada del sistema
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Entrada actualizada el 15 de mayo de 2024
AppleMobileFileIntegrity
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un atacante podría acceder a la información del usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema mejorando la validación de las variables de entorno.
CVE-2024-27805: Kirin (@Pwnrin) y 小来来 (@Smi1eSEC)
Entrada añadida el 10 de junio de 2024
Disk Images
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27832: investigador anónimo
Entrada añadida el 10 de junio de 2024
Foundation
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27801: CertiK SkyFall Team
Entrada añadida el 10 de junio de 2024
IOSurface
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Entrada añadida el 10 de junio de 2024
Kernel
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un atacante que haya conseguido ejecutar el código de kernel puede ser capaz de omitir las protecciones de la memoria del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-27840: investigador anónimo
Entrada añadida el 10 de junio de 2024
Kernel
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2024-27815: investigador anónimo y Joseph Ravichandran (@0xjprx) de MIT CSAIL
Entrada añadida el 10 de junio de 2024
libiconv
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27811: Nick Wellnhofer
Entrada añadida el 10 de junio de 2024
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un atacante con acceso físico podría filtrar las credenciales de la cuenta de Mail.
Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.
CVE-2024-23251: Gil Pedersen
Entrada añadida el 10 de junio de 2024
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un correo electrónico creado con fines malintencionados podría ser capaz de iniciar llamadas de FaceTime sin autorización del usuario.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Entrada añadida el 10 de junio de 2024
Maps
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2024-27810: LFY@secsys de la Universidad de Fudan
Messages
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: el procesamiento de un mensaje creado con fines malintencionados podría provocar una denegación de servicio.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2024-27800: Daniel Zajork y Joshua Zajork
Entrada añadida el 10 de junio de 2024
Phone
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una persona con acceso físico a un dispositivo podría ver información de los contactos desde la pantalla bloqueada.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
CVE-2024-27814: Dalibor Milanovic
Entrada añadida el 10 de junio de 2024
RemoteViewServices
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un atacante podría acceder a la información del usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-27816: Mickey Jin (@patch1t)
Shortcuts
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un acceso directo puede dar salida a datos sensibles del usuario sin consentimiento.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2024-27821: Kirin (@Pwnrin), zbleet y Csaba Fitzl (@theevilbit) de Kandji
Spotlight
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: este problema se ha solucionado mejorando el saneamiento del entorno.
CVE-2024-27806
Entrada añadida el 10 de junio de 2024
WebKit
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura podría ser capaz de omitir la autenticación de puntero
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) en colaboración con Zero Day Initiative de Trend Micro
WebKit
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.
Descripción: se ha solucionado el problema añadiendo lógica adicional.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos de Mozilla
Entrada añadida el 10 de junio de 2024
WebKit
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: procesar contenido web podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard de CISPA Helmholtz Center for Information Security
Entrada añadida el 10 de junio de 2024
WebKit
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) de 360 Vulnerability Research Institute
Entrada añadida el 10 de junio de 2024
WebKit
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: un atacante malintencionado que tenga funciones arbitrarias de lectura y escritura podría ser capaz de omitir la autenticación de puntero.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) en colaboración con Zero Day Initiative de Trend Micro
Entrada añadida el 10 de junio de 2024
WebKit Canvas
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) de Crawless y @abrahamjuliot
Entrada añadida el 10 de junio de 2024
WebKit Web Inspector
Disponible para: Apple Watch Series 4 y modelos posteriores
Impacto: procesar contenido web podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson de underpassapp.com
Entrada añadida el 10 de junio de 2024
Otros agradecimientos
App Store
Queremos dar las gracias a un investigador anónimo por su ayuda.
AppleMobileFileIntegrity
Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.
Entrada añadida el 10 de junio de 2024
CoreHAP
Queremos dar las gracias a Adrian Cable por su ayuda.
Disk Images
Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.
Entrada añadida el 10 de junio de 2024
HearingCore
Queremos dar las gracias a un investigador anónimo por su ayuda.
ImageIO
Queremos dar las gracias a un investigador anónimo por su ayuda.
Entrada añadida el 10 de junio de 2024
Managed Configuration
Queremos dar las gracias a 遥遥领先 (@晴天组织) por su ayuda.
Siri
Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India.
Entrada añadida el 10 de junio de 2024
Transparency
Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.
Entrada añadida el 10 de junio de 2024