Informationen zum Sicherheitsinhalt von watchOS 7.5
In diesem Dokument wird der Sicherheitsinhalt von watchOS 7.5 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.
In den Sicherheitsdokumenten von Apple wird, nach Möglichkeit unter CVE-ID auf Schwachstellen verwiesen.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit.
watchOS 7.5
Audio
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30707: hjy79425575 in Zusammenarbeit mit Trend Micro Zero Day Initiative
Audio
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Analyse einer in böswilliger Absicht erstellten Audiodatei kann zur Preisgabe von Benutzerinformationen führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30685: Mickey Jin (@patch1t) von Trend Micro
Core Services
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Eine bösartige App kann möglicherweise Root-Rechte erlangen
Beschreibung: Bei der Validierung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Validierung der Symlinks behoben.
CVE-2021-30681: Zhongcheng Li (CK01)
CoreAudio
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Audiodatei kann begrenzten Speicher aufweisen
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2021-30686: Mickey Jin von Trend Micro
CoreText
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Validierung behoben
Beschreibung: Die Verarbeitung einer in böswilliger Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen.
CVE-2021-30753: Xingwei Lin von Ant Security Light-Year Lab
CVE-2021-30733: Sunglin von Knownsec 404
Crash Reporter
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Eine in böswilliger Absicht erstellte App kann unter Umständen geschützte Bereiche des Dateisystems ändern
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30727: Cees Elzinga
CVMS
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Ein lokaler Angreifer kann möglicherweise seine Berechtigungen erhöhen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30724: Mickey Jin (@patch1t) von Trend Micro
FontParser
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Validierung behoben.
CVE-2021-30771: Mickey Jin (@patch1t) of Trend Micro, CFF of Topsec Alpha Team
FontParser
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Validierung behoben
Beschreibung: Die Verarbeitung einer in böswilliger Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen.
CVE-2021-30755: Xingwei Lin von Ant Security Light-Year Lab
Heimdal
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Ein lokaler Nutzer kann vertrauliche Benutzerdaten preisgeben
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Eine bösartige App kann einen Denial-of-Service verursachen oder möglicherweise Speicherinhalte offenlegen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
ImageIO
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2021-30687: Hou JingYi (@hjy79425575) von Qihoo 360
ImageIO
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30700: Ye Zhang (@co0py_Cat) von Baidu Security
ImageIO
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30701: Mickey Jin (@patch1t) von Trend Micro und Ye Zhang von Baidu Security
ImageIO
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten ASTC-Datei kann Speicherinhalte offenlegen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30705: Ye Zhang von Baidu Security
ImageIO
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Dieses Problem wurde durch verbesserte Prüfungen behoben
Beschreibung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen.
CVE-2021-30706: Anonymous in Zusammenarbeit mit Trend Micro Zero Day Initiative, Jzhu in Zusammenarbeit mit Trend Micro Zero Day Initiative
Kernel
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Eine bösartige App kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Validierung behoben.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30704: Ein anonymer Forscher
Kernel
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30715: Britisches National Cyber Security Centre (NCSC)
Kernel
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Größenvalidierung behoben.
CVE-2021-30736: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Ein Double-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben
Beschreibung: Eine App kann willkürlichen Code mit Kernel-Rechten ausführen.
CVE-2021-30703: Ein anonymer Forscher
LaunchServices
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Eine bösartige App kann die Sandbox umgehen
Beschreibung: Dieses Problem wurde durch eine verbesserte Umgebungsbereinigung behoben.
CVE-2021-30677: Ron Waisberg (@epsilan)
Security
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Verarbeitung eines in böswilliger Absicht erstellten Zertifikats kann zur Ausführung von willkürlichem Code führen
Beschreibung: Ein Speicherfehler im ASN.1-Decoder wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2021-30737: xerub
WebKit
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Ein ursprungsübergreifendes Problem mit Iframe-Elementen wurde behoben, indem die Nachverfolgung der Sicherheitsursprünge verbessert wurde.
CVE-2021-30744: Dan Hite von jsontop
WebKit
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-21779: Marcin Towalski von Cisco Talos
WebKit
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Eine bösartige App kann vertrauliche Benutzerdaten offenlegen
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2021-30682: Ein anonymer Forscher und 1lastBr3ath
WebKit
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30689: Ein anonymer Forscher
WebKit
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-30749: Ein anonymer Forscher und mipu94 von SEFCOM lab, ASU. in Zusammenarbeit mit Trend Micro Zero Day Initiative
CVE-2021-30734: Jack Dates von RET2 Systems, Inc. (@ret2systems) in Zusammenarbeit mit Trend Micro Zero Day Initiative
WebKit
Verfügbar für: Apple Watch Series 3 und neuer
Auswirkung: Eine in böswilliger Absicht erstellte Website kann über beliebige Server auf eingeschränkte Ports zugreifen
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2021-30720: David Schütz (@xdavidhu)
Zusätzliche Danksagung
CommCenter
Wir möchten uns bei CHRISTIAN MINA für die Unterstützung bedanken.
ImageIO
Wir möchten uns bei Jzhu in Zusammenarbeit mit Trend Micro Zero Day Initiative und einem anonymen Forscher für die Unterstützung bedanken.
Mail Drafts
Wir möchten uns bei Lauritz Holtmann (@_lauritz_) für die Unterstützung bedanken.
WebKit
Wir danken Chris Salls (@salls) von Makai Security für die Unterstützung.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.