Informationen zum Sicherheitsinhalt von watchOS 6.1.1

In diesem Dokument wird der Sicherheitsinhalt von watchOS 6.1.1 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

watchOS 6.1.1

CallKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Mithilfe von Siri getätigte Anrufe können bei Geräten mit zwei aktiven Mobilfunktarifen über den falschen Mobilfunktarif eingeleitet werden.

Beschreibung: Bei der Verarbeitung von ausgehenden Telefonanrufen, die mithilfe von Siri getätigt wurden, lag ein API-Problem vor. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2019-8856: Fabrice TERRANCLE von TERRANCLE SARL

CFNetwork

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann möglicherweise für eine bestimmte Anzahl von Top-Level-Domänen, die zuvor nicht in der HSTS-Preloadliste aufgeführt waren, HSTS umgehen.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2019-8834: Rob Sayre (@sayrer)

CFNetwork-Proxys

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2019-8848: Zhuo Liang vom Qihoo 360 Vulcan Team

FaceTime

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Das Verarbeiten eines in bösartiger Absicht erstellten Videos mit FaceTime kann dazu führen, dass Code willkürlich ausgeführt wird.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8830: natashenka von Google Project Zero

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2019-8833: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8828: Cim Stordal von Cognite

CVE-2019-8838: Dr. Silvio Cesare von InfoSect

libexpat

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Analyse einer schadhaften XML-Datei könnte zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Dieses Problem wurde durch die Aktualisierung von Expat auf Version 2.2.8 behoben.

CVE-2019-15903: Joonun Jang

libpcap

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Mehrere Probleme in libpcap

Beschreibung: Mehrere Probleme wurden durch das Update von libpcap auf Version 1.9.1 behoben.

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Sicherheit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8832: Insu Yun vom SSLab der Georgia Tech

WebKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8844: William Bowling (@wcbowling)

Zusätzliche Danksagung

Accounts

Wir möchten uns bei Allison Husain von der UC Berkeley, Kishan Bagaria (KishanBagaria.com) und Tom Snelling von der Loughborough University für die Unterstützung bedanken.

Core Data

Wir möchten uns bei natashenka von Google Project Zero für die Unterstützung bedanken.