Acerca del contenido de seguridad de watchOS 10.4

En este documento se describe el contenido de seguridad de watchOS 10.4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

watchOS 10,4

Publicado el martes 7 de marzo de 2024

Accessibility

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app creada con fines malintencionados podría observar los datos de usuarios para las entradas de registro relacionadas con las notificaciones de accesibilidad.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2024-23291

AppleMobileFileIntegrity

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría obtener privilegios de alto nivel.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2024-23288: Wojciech Regula de SecuRing (wojciechregula.blog) y Kirin (@Pwnrin)

CoreBluetooth - LE

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría ser capaz de acceder a los micrófonos conectados por Bluetooth sin permiso del usuario.

Descripción: se ha solucionado un problema de acceso mejorando las restricciones de acceso.

CVE-2024-23250: Guilherme Rambo, de Best Buddy Apps (rambo.codes)

file

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de un archivo podría generar una denegación de servicio o una posible revelación del contenido de la memoria.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-48554

ImageIO

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2024-23286: Junsung Lee en colaboración con Trend Micro Zero Day Initiative, Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun), y Lyutoon y Mr.R

Entrada actualizada el 31 de mayo de 2024

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2024-23235

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: se ha solucionado una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.

CVE-2024-23265: Xinru Chi de Pangu Lab

Kernel

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir las protecciones de la memoria del kernel. Apple tiene conocimiento de que este problema se ha explotado.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2024-23225

libxpc

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría salir de su zona protegida.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-23278: investigador anónimo

libxpc

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría ser capaz de ejecutar código arbitrario fuera de su entorno aislado o con determinados privilegios elevados.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2024-0258: ali yabuz

MediaRemote

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una aplicación creada con fines malintencionados podría tener acceso a información privada.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-23297: scj643

Messages

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.

CVE-2024-23287: Kirin (@Pwnrin)

RTKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir las protecciones de la memoria del kernel. Apple tiene conocimiento de que este problema se ha explotado.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2024-23296

Sandbox

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría filtrar información confidencial del usuario.

Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2024-23290: Wojciech Reguła de SecuRing (wojciechregula.blog)

Share Sheet

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2024-23231: Kirin (@Pwnrin) y luckyu (@uuulucky)

Siri

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una persona con acceso físico a un dispositivo podría usar Siri para acceder a información privada del calendario.

Descripción: se ha solucionado un problema de bloqueo de pantalla mejorando la gestión del estado.

CVE-2024-23289: Lewis Hardy

Siri

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un atacante con acceso físico puede ser capaz de utilizar Siri para acceder a datos sensibles del usuario

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-23293: Bistrit Dahal

UIKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una app podría salir de su zona protegida.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2024-23246: Deutsche Telekom Security GmbH con el patrocinio de Bundesamt für Sicherheit in der Informationstechnik

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: procesar contenido web podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 259694

CVE-2024-23226: Pwn2car

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos de audio en orígenes cruzados

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.

WebKit Bugzilla: 263795

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: se ha solucionado un problema de lógica mejorando la validación.

WebKit Bugzilla: 264811

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.

Descripción: se ha solucionado un problema de inyección con la mejora de la validación.

WebKit Bugzilla: 266703

CVE-2024-23280: investigador anónimo

WebKit

Disponible para: Apple Watch Series 4 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

WebKit Bugzilla: 267241

CVE-2024-23284: Georg Felber y Marco Squarcina

Otros agradecimientos

CoreAnimation

Queremos dar las gracias a Junsung Lee por su ayuda.

CoreMotion

Queremos dar las gracias a Eric Dorphy de Twin Cities App Dev LLC por su ayuda.

Find My

Queremos dar las gracias a Meng Zhang (鲸落) de NorthSea por su ayuda.

Kernel

Queremos mostrar nuestro agradecimiento por su ayuda a Tarek Joumaa (@tjkr0wn).

libxml2

Queremos dar las gracias a OSS-Fuzz y Ned Williamson de Google Project Zero por su ayuda.

libxpc

Queremos dar las gracias a Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) y un investigador anónimo por su ayuda.

Power Management

Queremos dar las gracias a Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., por su ayuda.

Sandbox

Queremos dar las gracias a Zhongquan Li (@Guluisacat) por su ayuda.

Siri

Queremos dar las gracias a Bristit Dahal por su ayuda.

Software Update

Queremos dar las gracias a Bin Zhang de la Dublin City University por su ayuda.

WebKit

Queremos dar las gracias a Nan Wang (@eternalsakura13) de 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina y Lorenzo Veronese de TU Wien por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: