Informationen zum Sicherheitsinhalt von watchOS 2.1
In diesem Dokument wird der Sicherheitsinhalt von watchOS 2.1 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
watchOS 2.1
AppSandbox
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Ein Schadprogramm kann den Zugriff auf Kontakte aufrechterhalten, nachdem der Zugriff entzogen wurde
Beschreibung: Bei der Verarbeitung von harten Links in der Sandbox bestand ein Problem. Dieses Problem wurde durch eine verbesserte Härtung der Sandbox-App behoben.
CVE-ID
CVE-2015-7001: Razvan Deaconescu und Mihai Bucicoiu von der Polytechnischen Universität Bukarest; Luke Deshotels und William Enck von der North Carolina State University; Lucas Vincenzo Davi und Ahmad-Reza Sadeghi von der TU Darmstadt
Compression
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Ausführung willkürlichen Codes führen
Beschreibung: In zlib bestand ein Problem mit nicht initialisiertem Speicherzugriff. Dieses Problem wurde durch eine verbesserte Speicherinitialisierung und eine zusätzliche Validierung von zlib-Streams behoben.
CVE-ID
CVE-2015-7054: j00ru
CoreGraphics
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team
CoreMedia Playback
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von fehlerhaften Mediendateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-7075
dyld
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen
Beschreibung: In dyld gab es ein Problem mit der Segmentvalidierung. Dieses wurde durch eine verbesserte Umgebungssäuberung behoben.
CVE-ID
CVE-2015-7072: Apple
FontParser
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Schriftdateien kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2015-6978: Jaanus Kp, Clarified Security, in Zusammenarbeit mit der Zero Day Initiative von HP
GasGauge
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen
Beschreibung: Im Kernel bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-6979: PanguTeam
ImageIO
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: In ImageIO bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-7053: Apple
IOHIDFamily
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen
Beschreibung: In IOHIDFamily kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-7111: beist und ABH von BoB
CVE-2015-7112: Ian Beer von Google Project Zero
IOKit SCSI
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernelrechten ausführen
Beschreibung: Bei der Verarbeitung eines bestimmten Userclient-Typs gab es einen Rückverweis auf einen Nullzeiger. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-ID
CVE-2015-7068: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Ein lokales Programm kann einen Denial-of-Service-Angriff verursachen
Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-7040: Lufeng Li vom Qihoo 360 Vulcan Team
CVE-2015-7041: Lufeng Li vom Qihoo 360 Vulcan Team
CVE-2015-7042: Lufeng Li vom Qihoo 360 Vulcan Team
CVE-2015-7043: Tarjei Mandt (@kernelpool)
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Beim Analysieren von Mach-Nachrichten bestand ein Problem. Dieses Problem wurde durch eine verbesserte Validierung von Mach-Nachrichten behoben.
CVE-ID
CVE-2015-7047: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Im Kernel gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-7083: Ian Beer von Google Project Zero
CVE-2015-7084: Ian Beer von Google Project Zero
LaunchServices
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen
Beschreibung: Bei der Verarbeitung fehlerhafter plists kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-7113: Olivier Goguel von der Free Tools Association
libarchive
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Archiven kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2011-2895: @practicalswift
libc
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Pakets kann zur Ausführung willkürlichen Codes führen
Beschreibung: In der C-Standard-Bibliothek gab es mehrere Pufferüberläufe. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2015-7038: Brian D. Wells von E. W. Scripps, Narayan Subramanian von Symantec Corporation/Veritas LLC
CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)
Eintrag aktualisiert am 3. März 2017
mDNSResponder
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Ein lokales Programm kann einen Denial-of-Service-Angriff verursachen
Beschreibung: Es wurde ein Problem mit einem Rückverweis auf einen Nullzeiger behoben, indem eine bessere Speicherverwaltung erfolgt.
CVE-ID
CVE-2015-7988: Alexandre Helie
OpenGL
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Ausführung willkürlichen Codes führen
Beschreibung: In OpenGL kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-7064: Apple
CVE-2015-7066: Tongbo Luo und Bo Qu von Palo Alto Networks
Sandbox
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Ein Schadprogramm mit Root-Rechten kann die Kernel-ASLR (Address Space Layout Randomization) umgehen
Beschreibung: In xnu bestand ein Problem mit einer unzureichenden Rechtetrennung. Dieses Problem wurde durch verbesserte Autorisierungsprüfungen behoben.
CVE-ID
CVE-2015-7046: Apple
Sicherheit
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen
Beschreibung: Bei der Verarbeitung von SLL-Handshakes kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-7073: Benoit Foucher von ZeroC, Inc.
Sicherheit
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Zertifikats kann zur Ausführung willkürlichen Codes führen
Beschreibung: Im ASN.1 Decoder bestanden mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2015-7059: David Keeler von Mozilla
CVE-2015-7060: Tyson Smith von Mozilla
CVE-2015-7061: Ryan Sleevi von Google
Sicherheit
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermès
Auswirkung: Eine Vertrauensbewertung, die so konfiguriert ist, dass eine Widerrufsprüfung erforderlich ist, kann fortgesetzt werden, selbst wenn die Widerrufsprüfung fehlschlägt
Beschreibung: Die Kennzeichnung "kSecRevocationRequirePositiveResponse" wurde spezifiziert, aber nicht implementiert. Das Problem wurde durch die Implementierung der Kennzeichnung behoben.
CVE-ID
CVE-2015-6997: Apple
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.