Acerca del contenido de seguridad de watchOS 11

En este documento, se describe el contenido de seguridad de watchOS 11.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.

A través de la seguridad de Apple, se documentan vulnerabilidades de referencia por ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

watchOS 11

Accessibility

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que un atacante con acceso físico a un dispositivo bloqueado pueda controlar los dispositivos cercanos mediante funciones de accesibilidad

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2024-44171: Jake Derouin

Game Center

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Se mejoró la validación de entradas para solucionar un problema de acceso a archivos.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que el procesamiento de un archivo creado con fines malintencionados pueda provocar el cierre inesperado de la app

Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.

CVE-2024-27880: Junsung Lee

ImageIO

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que el procesamiento de una imagen pueda provocar una denegación de servicio

Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.

CVE-2024-44176: dw0r de ZeroPointer Lab en colaboración con el programa Zero Day Initiative de Trend Micro, un investigador anónimo

IOSurfaceAccelerator

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2024-44169: Antonio Zekić

Kernel

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que una app obtenga acceso no autorizado a Bluetooth

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) y Mathy Vanhoef

libxml2

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Se solucionó un problema de desbordamiento de enteros mejorando la validación de entradas.

CVE-2024-44198: OSS-Fuzz, Ned Williamson de Google Project Zero

mDNSResponder

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que una app pueda provocar una denegación de servicio

Descripción: Se mejoró la administración de errores para solucionar un problema de lógica.

CVE-2024-44183: Olivier Levon

Safari

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que el contenido web creado con fines malintencionados pueda infringir la política de la zona protegida de iFrame

Descripción: Se solucionó un problema en la manipulación del esquema de URL personalizado mejorando la validación de entradas.

CVE-2024-44155: Narendra Bhati, dirección de Cyber Security en Suma Soft Pvt. Ltd, Pune, India

SceneKit

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que el procesamiento de un archivo creado con fines malintencionados pueda provocar el cierre inesperado de la app

Descripción: Se mejoró la validación de tamaños para solucionar un problema de desbordamiento de búferes.

CVE-2024-44144: 냥냥

Siri

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Se movieron los datos confidenciales a una ubicación más segura para solucionar un problema de privacidad.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar un ataque de scripts de sitios universal

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2024-40857: Ron Masas

WebKit

Disponible para: Apple Watch Series 6 y versiones posteriores

Impacto: Es posible que un sitio web creado con fines malintencionados pueda exfiltrar datos de mediante un origen cruzado

Descripción: Existía un problema de origen cruzado con los elementos de iFrame. Este problema se solucionó mejorando el seguimiento de los orígenes de seguridad.

CVE-2024-44187: Narendra Bhati, dirección de Cyber Security en Suma Soft Pvt. Ltd, Pune, India

Otros agradecimientos

Kernel

Nos gustaría darles las gracias a Braxton Anderson, y a Fakhri Zulkifli (@d0lph1n98) de PixiePoint Security por su ayuda.

Maps

Nos gustaría darle las gracias a Kirin (@Pwnrin) por su ayuda.

Shortcuts

Nos gustaría darles las gracias a Cristian Dinca de “Tudor Vianu” National High School of Computer Science (Rumanía), Jacob Braun y un investigador anónimo por su ayuda.

Siri

Nos gustaría darles las gracias a Abhay Kailasia (@abhay_kailasia) de Lakshmi Narain College of Technology Bhopal India y Rohan Paudel, investigador anónimo, por su ayuda.

Voice Memos

Nos gustaría darle las gracias a Lisa B por su ayuda.

WebKit

Nos gustaría darles las gracias a Avi Lumelsky de Oligo Security, Uri Katz de Oligo Security, Eli Grey (eligrey.com) y Johan Carlsson (joaxcar) por su ayuda.