Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que es posible.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.
watchOS 7.3
Publicado el 26 de enero de 2021
Análisis
Disponible para Apple Watch Series 3 y posteriores
Impacto: Un atacante remoto podía ocasionar una denegación de servicio
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-1761: Cees Elzinga
Entrada agregada el 1 de febrero de 2021
APFS
Disponible para Apple Watch Series 3 y posteriores
Impacto: Un usuario local podía leer archivos arbitrarios.
Descripción: Se mejoró la lógica de permisos para solucionar el problema.
CVE-2021-1797: Thomas Tempelmann
Entrada agregada el 1 de febrero de 2021
CoreAnimation
Disponible para Apple Watch Series 3 y posteriores
Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario, lo que exponía la información de los usuarios.
Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.
CVE-2021-1760: @S0rryMybad de 360 Vulcan Team
Entrada agregada el 1 de febrero de 2021
CoreAudio
Disponible para Apple Watch Series 3 y posteriores
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código.
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2021-1747: JunDong Xie de Ant Security Light-Year Lab
Entrada agregada el 1 de febrero de 2021
CoreGraphics
Disponible para Apple Watch Series 3 y posteriores
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.
CVE-2021-1776: Ivan Fratric de Google Project Zero
Entrada agregada el 1 de febrero de 2021
CoreText
Disponible para Apple Watch Series 3 y posteriores
Impacto: El procesamiento de un archivo de texto creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de desbordamiento de pila mejorando la validación de entradas.
CVE-2021-1772: Mickey Jin de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 1 de febrero de 2021 y actualizada el 16 de marzo de 2021
CoreText
Disponible para Apple Watch Series 3 y posteriores
Impacto: Es posible que un atacante remoto pueda ocasionar la ejecución de código arbitrario
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1792: Mickey Jin y Junzhi Lu de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 1 de febrero de 2021 y actualizada el 16 de marzo de 2021
Informe de fallos
Disponible para Apple Watch Series 3 y posteriores
Impacto: Un usuario local podía crear o modificar archivos del sistema.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1786: Csaba Fitzl (@theevilbit) de Offensive Security
Entrada agregada el 1 de febrero de 2021
Informe de fallos
Disponible para Apple Watch Series 3 y posteriores
Impacto: Un atacante local podía aumentar sus privilegios.
Descripción: Se mejoró la lógica para solucionar varios problemas.
CVE-2021-1787: James Hutchins
Entrada agregada el 1 de febrero de 2021
FairPlay
Disponible para Apple Watch Series 3 y posteriores
Impacto: Una app creada con fines malintencionados podía divulgar la memoria del kernel
Descripción: Existía un problema de lectura fuera de los límites que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó mejorando la validación de entradas.
CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun y Mickey Jin de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 1 de febrero de 2021 y actualizada el 16 de marzo de 2021
FontParser
Disponible para Apple Watch Series 3 y posteriores
Impacto: Es posible que un atacante remoto pueda ocasionar la ejecución de código arbitrario
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1758: Peter Nguyen de STAR Labs
Entrada agregada el 1 de febrero de 2021
ImageIO
Disponible para Apple Watch Series 3 y posteriores
Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1818: Xingwei Lin de Ant-Financial Light-Year Security Lab
Entrada agregada el 16 de marzo de 2021
ImageIO
Disponible para Apple Watch Series 3 y posteriores
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar una denegación de servicio.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1773: Xingwei Lin de Ant Security Light-Year Lab
Entrada agregada el 1 de febrero de 2021
ImageIO
Disponible para Apple Watch Series 3 y posteriores
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar una denegación de servicio.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-1766: Danny Rosseau de Carve Systems
Entrada agregada el 1 de febrero de 2021
ImageIO
Disponible para Apple Watch Series 3 y posteriores
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2021-1785: Xingwei Lin de Ant Security Light-Year Lab
Entrada agregada el 1 de febrero de 2021
ImageIO
Disponible para Apple Watch Series 3 y posteriores
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2021-1744: Xingwei Lin de Ant Security Light-Year Lab
Entrada agregada el 1 de febrero de 2021
ImageIO
Disponible para Apple Watch Series 3 y posteriores
Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1818: Xingwei Lin de Ant-Financial Light-Year Security Lab
Entrada agregada el 1 de febrero de 2021
ImageIO
Disponible para Apple Watch Series 3 y posteriores
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-1742: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1746: Jeonghoon Shin (@singi21a) de THEORI, Mickey Jin y Qi Sun de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro, Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1754: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1774: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1777: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1793: Xingwei Lin de Ant Security Light-Year Lab
Entrada agregada el 1 de febrero de 2021 y actualizada el 16 de marzo de 2021
ImageIO
Disponible para Apple Watch Series 3 y posteriores
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1741: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1743: Mickey Jin y Junzhi Lu de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro, Xingwei Lin de Ant Security Light-Year Lab
Entrada agregada el 1 de febrero de 2021 y actualizada el 16 de marzo de 2021
ImageIO
Disponible para Apple Watch Series 3 y posteriores
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar una denegación de servicio.
Descripción: Existía un problema de lectura fuera de los límites en el curl. Para resolver este problema, se mejoró la comprobación de los límites.
CVE-2021-1778: Xingwei Lin de Ant Security Light-Year Lab
Entrada agregada el 1 de febrero de 2021
ImageIO
Disponible para Apple Watch Series 3 y posteriores
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de acceso mejorando la administración de la memoria.
CVE-2021-1783: Xingwei Lin de Ant Security Light-Year Lab
Entrada agregada el 1 de febrero de 2021
IOSkywalkFamily
Disponible para Apple Watch Series 3 y posteriores
Impacto: Un atacante local podía aumentar sus privilegios.
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1757: Proteas y Pan ZhenPeng (@Peterpan0927) de Alibaba Security
Entrada agregada el 1 de febrero de 2021
iTunes Store
Disponible para Apple Watch Series 3 y posteriores
Impacto: El procesamiento de una URL creada con fines malintencionados podía ocasionar la ejecución de código arbitrario javascript.
Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.
CVE-2021-1748: CodeColorist en colaboración con Ant Security Light-Year Labs
Entrada agregada el 1 de febrero de 2021 y actualizada el 16 de marzo de 2021
Kernel
Disponible para Apple Watch Series 3 y posteriores
Impacto: Un atacante remoto podía ocasionar una denegación de servicio
Descripción: Se mejoró la administración de la memoria para solucionar un problema de uso después de liberación.
CVE-2021-1764: @m00nbsd
Entrada agregada el 1 de febrero de 2021 y actualizada el 16 de marzo de 2021
Kernel
Disponible para Apple Watch Series 3 y posteriores
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se mejoró la lógica para solucionar varios problemas.
CVE-2021-1750: @0xalsr
Entrada agregada el 1 de febrero de 2021
Kernel
Disponible para Apple Watch Series 3 y posteriores
Impacto: Una app creada con fines malintencionados podía elevar privilegios. Apple está al tanto de un reporte en el que se indica que este problema pudo haberse explotado de forma activa.
Descripción: Se solucionó un problema de condición de carrera mejorando el bloqueo.
CVE-2021-1782: Un investigador anónimo
Swift
Disponible para Apple Watch Series 3 y posteriores
Impacto: Un atacante malintencionado con una función de lectura y escritura arbitraria podía omitir la autenticación del puntero
Descripción: Se mejoró la validación para solucionar un problema de lógica.
CVE-2021-1769: CodeColorist de Ant-Financial Light-Year Labs
Entrada agregada el 1 de febrero de 2021
WebKit
Disponible para Apple Watch Series 3 y posteriores
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.
CVE-2021-1788: Francisco Alonso (@revskills)
Entrada agregada el 1 de febrero de 2021 y actualizada el 16 de marzo de 2021
WebKit
Disponible para Apple Watch Series 3 y posteriores
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró el manejo de estados para solucionar un problema de confusión de tipo.
CVE-2021-1789: @S0rryMybad de 360 Vulcan Team
Entrada agregada el 1 de febrero de 2021
WebKit
Disponible para Apple Watch Series 3 y posteriores
Impacto: El contenido web creado con fines malintencionados podía infringir la política de la zona protegida de iFrame.
Descripción: Se mejoró la aplicación de la zona protegida de iFrame para solucionar este problema.
CVE-2021-1801: Eliya Stein de Confiant
Entrada agregada el 1 de febrero de 2021
WebRTC
Disponible para Apple Watch Series 3 y posteriores
Impacto: Un sitio web malintencionado podía acceder a puertos restringidos en servidores arbitrarios.
Descripción: Se solucionó un problema de redirección de puertos con una validación adicional de los puertos.
CVE-2021-1799: Gregory Vishnepolsky y Ben Seri de Armis Security, y Samy Kamkar
Entrada agregada el 1 de febrero de 2021
Otros agradecimientos
iTunes Store
Nos gustaría darle las gracias a CodeColorist de Ant-Financial Light-Year Labs por su ayuda.
Entrada agregada el 1 de febrero de 2021
Kernel
Nos gustaría darles las gracias a Junzhi Lu (@pwn0rz), Mickey Jin y Jesse Change de Trend Micro por su ayuda.
Entrada agregada el 1 de febrero de 2021
libpthread
Nos gustaría darle las gracias a CodeColorist de Ant-Financial Light-Year Labs por su ayuda.
Entrada agregada el 1 de febrero de 2021
Store Demo
Nos gustaría darle las gracias a @08Tc3wBB por su ayuda.
Entrada agregada el 1 de febrero de 2021