Acerca del contenido de seguridad de watchOS 11

En este documento se describe el contenido de seguridad de watchOS 11.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

watchOS 11

Accessibility

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un atacante con acceso físico a un dispositivo bloqueado podría controlar dispositivos cercanos mediante las funciones de accesibilidad

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-44171: Jake Derouin

Game Center

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de acceso a archivos mediante la mejora de la validación de las entradas.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.

CVE-2024-27880: Junsung Lee

ImageIO

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: procesar una imagen podría provocar una denegación de servicio.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2024-44176: dw0r de ZeroPointer Lab en colaboración con Trend Micro Zero Day Initiative y un investigador anónimo

IOSurfaceAccelerator

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una aplicación puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2024-44169: Antonio Zekić

Kernel

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una aplicación podría obtener acceso no autorizado a Bluetooth.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) y Mathy Vanhoef

libxml2

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.

CVE-2024-44198: OSS-Fuzz y Ned Williamson de Google Project Zero.

mDNSResponder

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una aplicación podría provocar una denegación de servicio.

Descripción: se ha solucionado un error de lógica con la mejora de la gestión de errores.

CVE-2024-44183: Olivier Levon

Safari

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un contenido web creado con fines malintencionados podría infringir la política de zona protegida de iframe.

Descripción: se ha solucionado un problema de gestión de esquema de las URL personalizadas mejorando la validación de las entradas.

CVE-2024-44155: Narendra Bhati, supervisor de ciberseguridad de Suma Soft Pvt. Ltd, Pune (India)

SceneKit

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la validación del tamaño.

CVE-2024-44144: 냥냥

Siri

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de privacidad moviendo la información confidencial a una ubicación más segura.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf).

WebKit

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-40857: Ron Masas

WebKit

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados

Descripción: existía un problema de orígenes cruzados con elementos “iframe”. Este problema se ha solucionado mejorando el seguimiento de los orígenes de seguridad.

CVE-2024-44187: Narendra Bhati, supervisor de ciberseguridad de Suma Soft Pvt. Ltd, Pune (India)

Otros agradecimientos

Kernel

Queremos dar gracias a Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) de PixiePoint Security por su ayuda.

Maps

Queremos dar las gracias a Kirin (@Pwnrin) por su ayuda.

Shortcuts

Queremos dar las gracias a Cristian Dinca de “Tudor Vianu” National High School of Computer Science, Rumanía, Jacob Braun y a un investigador anónimo por su ayuda.

Siri

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de Lakshmi Narain College of Technology Bhopal India, Rohan Paudel y un investigador anónimo.

Voice Memos

Queremos dar las gracias a Lisa B por su ayuda.

WebKit

Queremos dar las gracias por su ayuda a Avi Lumelsky de Oligo Security, Uri Katz de Oligo Security, Eli Grey (eligrey.com) y Johan Carlsson (joaxcar).