Acerca del contenido de seguridad de watchOS 26

En este documento, se describe el contenido de seguridad de watchOS 26.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

watchOS 26

Apple Neural Engine

Disponible para Apple Watch Series 9 y posterior, Apple Watch SE (2.ª generación), Apple Watch Ultra (todos los modelos)

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.

CVE-2025-43344: Un investigador anónimo

AppleMobileFileIntegrity

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso

Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.

CVE-2025-43346: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro

Bluetooth

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.

CVE-2025-43354: Csaba Fitzl (@theevilbit) de Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) de Kandji

CoreAudio

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que el procesamiento de un archivo de video creado con fines malintencionados pueda provocar el cierre inesperado de la app

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2025-43349@zlluny, en colaboración con el programa Zero Day Initiative de Trend Micro

CoreMedia

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso

Descripción: Se mejoró la validación de entradas para solucionar el problema.

CVE-2025-43372: 이동하 (Lee Dong Ha) de SSA Lab

IOHIDFamily

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.

CVE-2025-43302: Keisuke Hosoda

IOKit

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2025-31255: Csaba Fitzl (@theevilbit) de Kandji

Kernel

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Un socket de servidor UDP vinculado con una interfaz local podía vincularse con todas las interfaces.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que una app pueda provocar una denegación de servicio

Descripción: se mejoró el manejo de la memoria para solucionar un problema de confusión de tipo.

CVE-2025-43355: Dawuge de Shuffle Team

Sandbox

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Una app podía salir de su zona protegida

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43329: Un investigador anónimo

Spell Check

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: El procesamiento de un archivo podía generar daños en la memoria.

Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.

CVE-2025-6965

System

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Se solucionó un problema de validación de entradas

Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Un sitio web podía acceder a la información del sensor sin el consentimiento del usuario.

Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.

CVE-2025-43356: Jaydev Ahire

WebKit

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2025-43272: Big Bear

WebKit

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2025-43343: Un investigador anónimo

WebKit

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Se mejoraron las comprobaciones para solucionar un problema de corrección.

CVE-2025-43342: Un investigador anónimo

Otros agradecimientos

Accounts

Nos gustaría darle las gracias a 要乐奈 por su ayuda.

AuthKit

Nos gustaría darle las gracias a Rosyna Keller de Totally Not Malicious Software por su ayuda.

Calendar

Nos gustaría darle las gracias a Keisuke Chinone (Iroiro) por su ayuda.

CFNetwork

Nos gustaría darle las gracias a Christian Kohlschütter por su ayuda.

CloudKit

Nos gustaría darle las gracias a Yinyi Wu (@_3ndy1) de Dawn Security Lab de JD.com, Inc por su ayuda.

darwinOS

Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.

Foundation

Nos gustaría darle las gracias a Csaba Fitzl (@theevilbit) de Kandji por su ayuda.

ImageIO

Nos gustaría darles las gracias a DongJun Kim (@smlijun) y JongSeong Kim (@nevul37) de Enki WhiteHat por su ayuda.

Kernel

Nos gustaría darles las gracias a Yepeng Pan y al Prof. Dr. Christian Rossow por su ayuda.

libc

Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.

libpthread

Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.

libxml2

Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.

Lockdown Mode

Nos gustaría darles las gracias a Pyrophoria, Ethan Day y kado por su ayuda.

mDNSResponder

Nos gustaría darle las gracias a Barrett Lyon por su ayuda.

MediaRemote

Nos gustaría darle las gracias a Dora Orak por su ayuda.

Sandbox Profiles

Nos gustaría darle las gracias a Rosyna Keller de Totally Not Malicious Software por su ayuda.

Transparency

Nos gustaría darles las gracias a Wojciech Regula de SecuRing (wojciechregula.blog) y a 要乐奈 por su ayuda.

WebKit

Nos gustaría darles las gracias a Bob Lord, Matthew Liang y Mike Cardwell de grepular.com por su ayuda.

Wi-Fi

Nos gustaría darles las gracias a Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) de Kandji, Noah Gregory (wts.dev), Wojciech Regula de SecuRing (wojciechregula.blog) y un investigador anónimo por su ayuda.