Informationen zum Sicherheitsinhalt von watchOS 3.2
In diesem Dokument wird der Sicherheitsinhalt von watchOS 3.2 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
watchOS 3.2
Audio
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2430: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2462: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Carbon
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten DFONT-Datei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2017-2379: riusksk (泉哥) vom Tencent Security Platform Department, John Villamil, Doyensec
CoreGraphics
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zu einem Denial-of-Service führen
Beschreibung: Die unendliche Rekursion wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2417: riusksk (泉哥) vom Tencent Security Platform Department
CoreGraphics
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2444: Mei Wang vom 360 GearTeam
CoreText
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textnachricht kann zu einem Denial-of-Service des Programms führen
Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung behoben, indem eine bessere Eingabeüberprüfung erfolgt.
CVE-2017-2461: Ein anonymer Forscher, Isaac Archambault von IDAoADI
FontParser
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2487: riusksk (泉哥) vom Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) vom Tencent Security Platform Department
FontParser
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2407: riusksk (泉哥) vom Tencent Security Platform Department
FontParser
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2439: John Villamil, Doyensec
HTTPProtocol
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein manipulierter HTTP/2-Server kann undefiniertes Verhalten auslösen
Beschreibung: nghttp2 wies in den Versionen vor 1.17.0 mehrere Schwachstellen auf. Diese wurden durch Aktualisierung von nghttp2 auf Version 1.17.0 behoben.
CVE-2017-2428
ImageIO
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) von KeenLab, Tencent
ImageIO
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Das Anzeigen einer in böser Absicht erstellten JPEG-Datei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2432: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
ImageIO
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2467
ImageIO
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zu einem unerwarteten Programmabbruch führen
Beschreibung: In den LibTIFF-Versionen vor 4.0.7 erfolgte ein Out-of-Bound-Lesevorgang. Dies wurde durch Aktualisieren von LibTIFF in ImageIO auf Version 4.0.7 behoben.
CVE-2016-3619
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2401: Lufeng Li vom Qihoo 360 Vulcan-Team
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Ganzzahl-Überlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2440: Ein anonymer Forscher
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Root-Rechten ausführen
Beschreibung: Eine Race-Bedingung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2456: lokihardt von Google Project Zero
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2472: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2473: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Problem vom Typ "off-by-one" wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2017-2474: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.
CVE-2017-2478: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2482: Ian Beer von Google Project Zero
CVE-2017-2483: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein Programm kann willkürlichen Code mit erhöhten Benutzerrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2490: Ian Beer von Google Project Zero, Britisches National Cyber Security Centre (NCSC)
Tastaturen
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein Programm kann willkürlichen Code ausführen
Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein lokaler Angreifer kann die Dateisystemberechtigungen für willkürliche Verzeichnisse ändern
Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung von Symlinks behoben.
CVE-2017-2390: Omer Medan von enSilo Ltd
libc++abi
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Das Demangling eines schädlichen C++-Programms kann zur Ausführung willkürlichen Codes führen
Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2441
libxslt
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Mehrere Schwachstellen in libxslt
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-5029: Holger Fuhrmannek
Sicherheit
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein Programm kann willkürlichen Code mit Root-Rechten ausführen
Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2017-2451: Alex Radocea von Longterm Security, Inc.
Sicherheit
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten x509-Zertifikats kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Analyse von Zertifikaten kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2485: Aleksandar Nikolic von Cisco Talos
WebKit
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2415: Kai Kang vom Xuanwu Lab von Tencent (tencent.com)
WebKit
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu starker Speichernutzung führen
Beschreibung: Ein Problem mit der unkontrollierten Ressourcennutzung wurde durch eine verbesserte regex-Verarbeitung behoben.
CVE-2016-9643: Gustavo Grieco
WebKit
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2471: Ivan Fratric von Google Project Zero
Zusätzliche Danksagung
XNU
Wir danken Lufeng Li vom Qihoo 360 Vulcan Team für die Unterstützung.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.