Informationen zum Sicherheitsinhalt von watchOS 9.2
In diesem Dokument wird der Sicherheitsinhalt von watchOS 9.2 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.
watchOS 9.2
Veröffentlicht am 13. Dezember 2022
Accessibility
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Ein Benutzer mit physischem Zugriff auf eine gesperrte Apple Watch kann über Bedienungshilfen die Fotos des Benutzers sehen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2022-46717: Zitong Wu(吴梓桐) von der Zhuhai No.1 Middle School(珠海市第一中学)
Eintrag am 6. Juni 2023 hinzugefügt
Accounts
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Ein Benutzer kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Analyse einer in böser Absicht erstellten Videodatei kann zur Ausführung von Kernel-Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46694: Andrey Labunets und Nikita Tarakanov
AppleMobileFileIntegrity
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.
Beschreibung: Dieses Problem wurde durch die Aktivierung der gehärteten Laufzeit behoben.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) von SecuRing
CoreServices
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.
Beschreibung: Mehrere Probleme wurden durch Entfernen des angreifbaren Codes behoben.
CVE-2022-42859: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) von Offensive Security
ImageIO
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.
Beschreibung: Es bestand ein Problem bei der Analyse von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-42837: ein anonymer Forscher
Kernel
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.
CVE-2022-46689: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Remotebenutzer können die Ausführung von Kernelcode verursachen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42842: pattern-f (@pattern_F_) von Ant Security Light-Year Lab
Kernel
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42845: Adam Doupé von ASU SEFCOM
Kernel
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Ein Angreifer mit willkürlichen Lese- und Schreibrechten kann möglicherweise die Authentifizierung von Zeigern umgehen. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise bei iOS-Versionen ausgenutzt wurde, die vor iOS 15.7.1 veröffentlicht wurden.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-48618: Apple
Eintrag hinzugefügt am 9. Januar 2024
libxml2
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.
Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-40303: Maddie Stone von Google Project Zero
libxml2
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-40304: Ned Williamson und Nathan Wachholz von Google Project Zero
Preferences
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise willkürliche Berechtigungen nutzen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-42855: Ivan Fratric von Google Project Zero
Eintrag am 6. Juni 2023 hinzugefügt
Safari
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.
Beschreibung: Es bestand eine Spoofing-Schwachstelle bei der Verarbeitung von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Ein Nutzer kann die Rechte erhöhen.
Beschreibung: Es bestand ein Zugriffsproblem mit privilegierten API-Aufrufen. Dieses Problem wurde durch zusätzliche Einschränkungen behoben.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2022-46703: Wojciech Regula von SecuRing (@_r3ggi) und Adam M.
Eintrag am 6. Juni 2023 hinzugefügt
Weather
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.
CVE-2022-42866: Adam M.
Eintrag am 16. August 2024 hinzugefügt
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu URL-Spoofing führen.
Beschreibung: Es bestand eine Spoofing-Schwachstelle bei der Verarbeitung von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46705: Hyeon Park (@tree_segment) von Team ApplePIE
Eintrag am 6. Juni 2023 hinzugefügt
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone von Google Project Zero
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 245466
CVE-2022-46691: ein anonymer Forscher
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten kann möglicherweise die Richtlinie für denselben Ursprung (Same Origin Policy) umgangen werden.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42852: hazbinhotel in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß von Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß von Google V8 Security
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können vertrauliche Nutzerdaten offengelegt werden.
Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.
CVE-2022-46698: Dohyun Lee (@l33d0hyun) von SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß von Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: ein anonymer Forscher
Zusätzliche Danksagung
Kernel
Wir möchten uns bei Zweig von Kunlun Lab für die Unterstützung bedanken.
Safari Extensions
Wir möchten uns bei Oliver Dunk und Christian R. von 1Password für die Unterstützung bedanken.
WebKit
Wir möchten uns bei einem anonymen Forscher und scarlet für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.