Acerca del contenido de seguridad de watchOS 11,1

En este documento se describe el contenido de seguridad de watchOS 11.1.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

Acerca del contenido de seguridad de watchOS 11.1

Accessibility

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un atacante con acceso físico a un dispositivo bloqueado podría ver información confidencial de los usuarios.

Descripción: el problema se ha solucionado mejorando la autenticación.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app creada con fines malintencionados podría ejecutar atajos arbitrarios sin el consentimiento del usuario.

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la lógica.

CVE-2024-44255: investigador anónimo

AppleAVD

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado del sistema.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2024-44232: Ivan Fratric de Google Project Zero

CVE-2024-44233: Ivan Fratric de Google Project Zero

CVE-2024-44234: Ivan Fratric de Google Project Zero

CoreMedia Playback

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app creada con fines malintencionados podría tener acceso a información privada.

Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell de Loadshine Lab

CoreText

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-44240: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Foundation

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: analizar un archivo de audio podría provocar la revelación de información del usuario.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2024-44282: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

ImageIO

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: procesar una imagen podría provocar la revelación de la memoria de procesos.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2024-44215: Junsung Lee en colaboración con Trend Micro Zero Day Initiative

ImageIO

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de un mensaje creado con fines malintencionados podría provocar una denegación de servicio.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2024-44297: Jex Amro

IOSurface

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2024-44285: investigador anónimo

Kernel

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: se ha solucionado un problema de revelación de información mediante mejorando la eliminación de datos privados para las entradas de registro.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Shortcuts

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app creada con fines malintencionados podría usar atajes para acceder a archivos restringidos.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2024-44269: investigador anónimo

Siri

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app en un entorno de prueba podría acceder a datos confidenciales del usuario en registros del sistema.

Descripción: se ha solucionado un problema de revelación de información mediante mejorando la eliminación de datos privados para las entradas de registro.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-44296: Narendra Bhati, supervisor de ciberseguridad de Suma Soft Pvt. Ltd, Pune (India)

WebKit

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2024-44244: un investigador anónimo, Q1IQ (@q1iqF) y P1umer (@p1umer)

Otros agradecimientos

Calculator

Queremos dar las gracias por su ayuda a Kenneth Chew.

Calendar

Queremos dar las gracias a K宝(@Pwnrin) por su ayuda.

ImageIO

Queremos dar las gracias a Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations, y a un investigador anónimo, por su ayuda.

Messages

Queremos dar las gracias a Collin Potter y a un investigador anónimo por su ayuda.

NetworkExtension

Queremos dar las gracias a Patrick Wardle de DoubleYou y a la Objective-See Foundation por su ayuda.

Photos

Queremos dar las gracias a James Robertson por su ayuda.

Security

Queremos dar las gracias a Bing Shi, Wenchao Li y Xiaolong Bai de Alibaba Group por su ayuda.

Siri

Queremos dar las gracias por su ayuda a Bistrit Dahal.