Informationen zum Sicherheitsinhalt von watchOS 6.1

In diesem Dokument wird der Sicherheitsinhalt von watchOS 6.1 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

watchOS 6.1

Accounts

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein entfernter Angreifer kann möglicherweise ein Speicherleck verursachen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8787: Steffen Klee vom Secure Mobile Networking Lab der Technischen Universität Darmstadt

AirDrop

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: AirDrop-Übertragungen werden im Modus „Jeder“ möglicherweise unerwartet akzeptiert.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-8796: Allison Husain von der UC Berkeley

App Store

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein lokaler Angreifer kann sich möglicherweise beim Account eines zuvor angemeldeten Benutzers ohne gültige Anmeldedaten anmelden.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleFirmwareUpdateKext

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Sperrung behoben.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Audio

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8785: Ian Beer von Google Project Zero

CVE-2019-8797: 08Tc3wBB in Zusammenarbeit mit SSD Secure Disclosure

Kontakte

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Kontakts kann zu UI-Spoofing führen.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7152: Oliver Paukstadt von der Thinking Objects GmbH (to.com)

Dateisystemereignisse

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8798: ABC Research s.r.o. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2019-8794: 08Tc3wBB in Zusammenarbeit mit SSD Secure Disclosure

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8786: Wen Xu von der Georgia Tech, Microsoft Offensive Security Research Intern

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Sperrung behoben.

CVE-2019-8829: Jann Horn von Google Project Zero

libxslt

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Mehrere Probleme in libxslt

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8750: gefunden von OSS-Fuzz

VoiceOver

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine Person mit physischem Zugang zu einem iOS-Gerät kann vom Sperrbildschirm aus auf Kontakte zugreifen.

Beschreibung: Dieses Problem wurde durch Einschränkung der Optionen behoben, die auf einem gesperrten Gerät zur Verfügung stehen.

CVE-2019-8775: videosdebarraquito

WebKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8764: Sergei Glazunov von Google Project Zero

WebKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8743: zhunki vom Codesafe Team von Legendsec bei der Qi'anxin Group

CVE-2019-8765: Samuel Groß von Google Project Zero

CVE-2019-8766: gefunden von OSS-Fuzz

CVE-2019-8808: gefunden von OSS-Fuzz

CVE-2019-8811: Soyeon Park vom SSLab der Georgia Tech

CVE-2019-8812: JunDong Xie von Ant-Financial Light-Year Security Lab

CVE-2019-8816: Soyeon Park vom SSLab der Georgia Tech

CVE-2019-8820: Samuel Groß von Google Project Zero

Zusätzliche Danksagung

boringssl

Wir möchten uns bei Nimrod Aviram von der Tel Aviv University, Robert Merget von der Ruhr-Universität Bochum und Juraj Somorovsky von der Ruhr-Universität Bochum für die Unterstützung bedanken.

CFNetwork

Wir möchten uns bei Lily Chen von Google für die Unterstützung bedanken.

Kernel

Wir danken Daniel Roethlisberger von Swisscom CSIRT und Jann Horn von Google Project Zero für die Unterstützung.

Safari

Wir möchten uns bei Ron Summers und Ronald van der Meer für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Zhiyi Zhang vom Codesafe Team von Legendsec bei der Qi'anxin Group für die Unterstützung bedanken.