Informationen zum Sicherheitsinhalt von watchOS 11

In diesem Dokument wird der Sicherheitsinhalt von watchOS 11 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

watchOS 11

Accessibility

Verfügbar für: Apple Watch Series 6 und neuer

Auswirkung: Ein Angreifer, der physischen Zugang zu einem gesperrten Gerät hat, kann möglicherweise Geräte in der Nähe über Zugriffsfunktionen steuern

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44171: Jake Derouin

Game Center

Verfügbar für: Apple Watch Series 6 und neuer

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Dateizugriffsfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Verfügbar für: Apple Watch Series 6 und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2024-27880: Junsung Lee

ImageIO

Verfügbar für: Apple Watch Series 6 und neuer

Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2024-44176: dw0r von ZeroPointer Lab in Zusammenarbeit mit der Trend Micro Zero Day Initiative, ein anonymer Forscher

IOSurfaceAccelerator

Verfügbar für: Apple Watch Series 6 und neuer

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2024-44169: Antonio Zekić

Kernel

Verfügbar für: Apple Watch Series 6 und neuer

Auswirkung: Eine App kann möglicherweise unbefugt auf Bluetooth zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) und Mathy Vanhoef

libxml2

Verfügbar für: Apple Watch Series 6 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2024-44198: OSS-Fuzz, Ned Williamson von Google Project Zero

mDNSResponder

Verfügbar für: Apple Watch Series 6 und neuer

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Ein Logikfehler wurde durch eine verbesserte Fehlerverarbeitung behoben.

CVE-2024-44183: Olivier Levon

Siri

Verfügbar für: Apple Watch Series 6 und neuer

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Datenschutzproblem wurde behoben, indem vertrauliche Daten in einen sichereren Bereich verschoben wurden.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

Verfügbar für: Apple Watch Series 6 und neuer

Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-40857: Ron Masas

WebKit

Verfügbar für: Apple Watch Series 6 und neuer

Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.

Beschreibung: Bei „iFrame“-Elementen kam es zu einem Cross-Origin-Problem. Dieses Problem wurde durch eine verbesserte Nachverfolgung der Sicherheitsursprünge behoben.

CVE-2024-44187: Narendra Bhati, Manager von Cyber Security bei Suma Soft Pvt. Ltd, Pune (Indien)

Zusätzliche Danksagung

Kernel

Wir möchten uns bei Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) von PixiePoint Security für die Unterstützung bedanken.

Maps

Wir möchten uns bei Kirin (@Pwnrin) für die Unterstützung bedanken.

Shortcuts

Wir möchten uns bei Cristian Dinca von der „Tudor Vianu“ National High School of Computer Science, Rumänien, Jacob Braun und einem anonymen Forscher für die Unterstützung bedanken.

Siri

Wir möchten uns bei Rohan Paudel und einem anonymen Forscher für die Unterstützung bedanken.

Voice Memos

Wir möchten uns bei Lisa B für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar) für die Unterstützung bedanken.