Informationen zum Sicherheitsinhalt von watchOS 5.2.1
In diesem Dokument wird der Sicherheitsinhalt von watchOS 5.2.1 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.
watchOS 5.2.1
AppleFileConduit
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
CoreAudio
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Filmdatei kann zur Ausführung von willkürlichem Code führen
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-8585: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CoreAudio
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Fehlerverarbeitung behoben.
CVE-2019-8592: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Disk-Images
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2019-8560: Nikita Pupyshev von der Staatlichen Technischen Universität Moskau "Bauman"
Kernel
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8605: Ned Williamson in Zusammenarbeit mit Google Project Zero
Kernel
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch verursachen oder Kernelspeicher lesen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2019-8576: Brandon Azad von Google Project Zero, Junho Jang und Hanul Choi vom LINE Security Team
Kernel
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine Anwendung kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.
Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8591: Ned Williamson in Zusammenarbeit mit Google Project Zero
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen.
Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-8626: natashenka von Google Project Zero
Mail Message Framework
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein entfernter Angreifer kann die Ausführung von willkürlichem Code verursachen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8613: natashenka von Google Project Zero
Nachrichten
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen.
Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-8664: natashenka von Google Project Zero
Nachrichten
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service des Systems verursachen.
Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-8573: natashenka von Google Project Zero
Nachrichten
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen.
Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-8664: natashenka von Google Project Zero
MobileInstallation
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein lokaler Benutzer kann geschützte Bereiche des Dateisystems ändern.
Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung der Symlinks behoben.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein Schadprogramm kann möglicherweise Root-Rechte erlangen.
Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
SQLite
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.
Beschreibung: Ein Problem bei der Eingabeüberprüfung wurde durch eine verbesserte Arbeitsspeicherverwaltung behoben.
CVE-2019-8577: Omer Gull von Checkpoint Research
SQLite
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung von willkürlichem Code führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-8600: Omer Gull von Checkpoint Research
SQLite
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher lesen.
Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-8598: Omer Gull von Checkpoint Research
SQLite
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.
Beschreibung: Ein Speicherfehler wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2019-8602: Omer Gull von Checkpoint Research
sysdiagnose
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Das Problem wurde durch verbesserte Berechtigungslogik behoben.
CVE-2019-8574: Dayton Pidhirney (@_watbulb) von Seekintoo (@seekintoo)
WebKit
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-8607: Junho Jang und Hanul Choi vom LINE Security Team
WebKit
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8583: sakura vom Xuanwu Lab von Tencent, jessica (@babyjess1ca_) vom Keen Lab von Tencent und dwfault vom ADLab von Venustech
CVE-2019-8601: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2019-8622: Samuel Groß von Google Project Zero
CVE-2019-8623: Samuel Groß von Google Project Zero
WLAN
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann den Treiberstatus ändern.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2019-8612: Milan Stute vom Secure Mobile Networking Lab der Technischen Universität Darmstadt
WLAN
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein Gerät kann möglicherweise durch seine WLAN-MAC-Adresse passiv nachverfolgt werden.
Beschreibung: Ein Problem mit dem Datenschutz von Benutzerdaten wurde behoben, indem die Broadcast-MAC-Adresse entfernt wurde.
CVE-2019-8620: David Kreitschmann und Milan Stute vom Secure Mobile Networking Lab an der Technischen Universität Darmstadt
Zusätzliche Danksagung
Clang
Wir möchten uns bei Brandon Azad von Google Project Zero für die Unterstützung bedanken.
CoreAudio
Wir danken riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro für die Unterstützung.
CoreFoundation
Wir möchten uns bei Vozzie und Rami und m4bln, Xiangqian Zhang, Huiming Liu vom Xuanwu Lab von Tencent für die Unterstützung bedanken.
Kernel
Wir möchten uns bei Brandon Azad von Google Project Zero und einem anonymen Forscher für die Unterstützung bedanken.
MediaLibrary
Wir möchten uns bei Angel Ramirez und Min (Spark) Zheng, Xiaolong Bai von Alibaba Inc. für die Unterstützung bedanken.
MobileInstallation
Wir möchten uns bei Yiğit Can YILMAZ (@yilmazcanyigit) für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.