Informationen zum Sicherheitsinhalt von watchOS 3.1.3

In diesem Dokument wird der Sicherheitsinhalt von watchOS 3.1.3 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

watchOS 3.1.3

Accounts

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Beim Deinstallieren einer App wurden die Autorisierungseinstellungen nicht zurückgesetzt

Beschreibung: Es bestand ein Problem, durch das die Autorisierungseinstellungen beim Deinstallieren einer App nicht zurückgesetzt wurden. Dieses Problem wurde durch eine verbesserte Bereinigung behoben.

CVE-2016-7651: Ju Zhu und Lilang Wu von Trend Micro

APNS-Server

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Aktivitäten eines Benutzers nachverfolgen

Beschreibung: Ein Client-Zertifikat wurde in Klartext gesendet. Dieses Problem wurde durch eine verbesserte Zertifikatverarbeitung behoben.

CVE-2017-2383: Matthias Wachs und Quirin Scheitle von der Technischen Universität München (TUM)

Audio

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-7658: Haohao Kong von Keen Lab (@keen_lab), Tencent

CVE-2016-7659: Haohao Kong von Keen Lab (@keen_lab), Tencent

CoreFoundation

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Zeichenfolgen kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Zeichenfolgen kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2016-7663: Ein anonymer Forscher

CoreGraphics

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zu einem unerwarteten Programmabbruch führen

Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

CoreMedia Playback

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten MP4-Datei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-7588: dragonltx von Huawei 2012 Laboratories

CoreText

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Schriftdateien traten mehrere Speicherfehler auf. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2016-7595: riusksk(泉哥) vom Tencent Security Platform Department

Images

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-7616: daybreaker@Minionz in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

FontParser

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Schriftdateien traten mehrere Speicherfehler auf. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2016-4691: riusksk(泉哥) vom Tencent Security Platform Department

FontParser

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Schriftdateien kam es zu einem Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2016-4688: Simon Huang vom Unternehmen Alipay, thelongestusernameofall@gmail.com

ICU

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-7594: André Bargull

ImageIO

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein entfernter Angreifer kann ein Speicherleck verursachen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2016-7643: Yangkang (@dnpushme) vom Qihoo360 Qex Team

IOHIDFamily

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Eine lokales Programm mit Systemrechten kann willkürlichen Code mit Kernelrechten ausführen

Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-7591: daybreaker von Minionz

IOKit

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Der Kernelspeicher kann von einem Programm gelesen werden

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-7657: Keen Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

IOKit

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein lokaler Benutzer kann das Layout des Kernelspeichers ermitteln

Beschreibung: Ein Problem mit gemeinsam genutztem Speicher wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-7714: Qidan He (@flanker_hqd) von KeenLab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-7606: Chen Qin vom Topsec Alpha Team (topsec.com), @cocoahuke

CVE-2016-7612: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Der Kernelspeicher kann von einem Programm gelesen werden

Beschreibung: Ein Problem durch unzureichende Initialisierung wurde durch eine korrekte Speicherinitialisierung an den Benutzerraum behoben.

CVE-2016-7607: Brandon Azad

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein lokaler Benutzer kann einen Denial-of-Service des Systems verursachen

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-7615: Britisches National Cyber Security Centre (NCSC)

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein lokaler Benutzer kann unter Umständen einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen

Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-7621: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein lokaler Benutzer könnte Root-Rechte erlangen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-7637: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Eine lokales Programm mit Systemrechten kann willkürlichen Code mit Kernelrechten ausführen

Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-7644: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann einen Denial-of-Service verursachen

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-7647: Lufeng Li vom Qihoo 360 Vulcan Team

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2370: Ian Beer vom Google Project Zero

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2360: Ian Beer vom Google Project Zero

libarchive

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein lokaler Angreifer kann bestehende Dateien überschreiben

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung von Symlinks behoben.

CVE-2016-7619: Ein anonymer Forscher

libarchive

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-8687: Agostino Sarubbo von Gentoo

Profile

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Das Öffnen eines in böser Absicht erstellten Zertifikats kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Zertifikatprofilen kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Sicherheit

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Angreifer kann eine Schwachstelle im 3DES-Kryptographie-Algorithmus ausnutzen

Beschreibung: 3DES wurde als Standardverschlüsselung entfernt.

CVE-2016-4693: Gaëtan Leurent und Karthikeyan Bhargavan von INRIA Paris

Sicherheit

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann einen Denial-of-Service-Angriff verursachen

Beschreibung: Bei der Verarbeitung von OCSP-Antwort-URLs bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine Überprüfung des OCSP-Widerrufsstatus nach der CA-Validierung und durch eine Begrenzung der Anzahl von OCSP-Anfragen pro Zertifikat behoben.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Sicherheit

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Zertifikate werden unerwartet als vertrauenswürdig bewertet

Beschreibung: Bei der Zertifikatsüberprüfung lag ein Problem bei der Bewertung von Zertifikaten vor. Dieses Problem wurde durch eine zusätzliche Überprüfung von Zertifikaten behoben.

CVE-2016-7662: Apple

syslog

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein lokaler Benutzer könnte Root-Rechte erlangen

Beschreibung: Ein Problem bei der Zuordnung der Referenzen von Anschlussnamen wurde durch eine verbesserte Überprüfung behoben.

CVE-2016-7660: Ian Beer von Google Project Zero

Mit iPhone entsperren

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Apple Watch kann entsperrt werden, wenn sie sich nicht am Handgelenk des Nutzers befindet

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2352: Ashley Fernandez von raptAware Pty Ltd

WebKit

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2016-7589: Apple

WebKit

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, traten mehrere Überprüfungsprobleme auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2363: lokihardt von Google Project Zero