Informationen zum Sicherheitsinhalt von watchOS 2

In diesem Dokument finden Sie Informationen zum Sicherheitsinhalt von watchOS 2.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

watchOS 2

  • Apple Pay

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Manche Karten erlauben einem Terminal, in begrenztem Umfang Daten zu kürzlich erfolgten Transaktionen abzurufen, wenn eine Zahlung getätigt wird

    Beschreibung: Die Transaktionsprotokoll-Funktionalität war in bestimmten Konfigurationen aktiviert. Dieses Problem wurde durch Entfernen der Transaktionsprotokoll-Funktionalität behoben.

    CVE-ID

    CVE-2015-5916

  • Audio

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Die Wiedergabe einer schadhaften Audiodatei kann zu einem unerwarteten Programmabbruch führen

    Beschreibung: Bei der Verarbeitung von Audiodateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon vom Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Universität Yonsei, Seoul, Korea

  • Richtlinie für vertrauenswürdige Zertifikate

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Aktualisierung der Richtlinie für vertrauenswürdige Zertifikate

    Beschreibung: Die Richtlinie für vertrauenswürdige Zertifikate wurde aktualisiert. Eine vollständige Liste der Zertifikate kann unter https://support.apple.com/kb/HT204873?viewlocale=de_DE eingesehen werden.

  • CFNetwork

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein Angreifer mit privilegierter Netzwerkposition kann SSL- oder TLS-Verbindungsdaten abfangen

    Beschreibung: In NSURL bestand ein Problem mit der Zertifikatsüberprüfung, wenn sich ein Zertifikat geändert hat. Dieses Problem wurde durch eine verbesserte Zertifikatüberprüfung behoben.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood von The Omni Group

  • CFNetwork

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Das Herstellen einer Verbindung zu einem schadhaften Web-Proxy kann schadhafte Cookies für eine Website setzen

    Beschreibung: Bei der Verarbeitung von Proxy-Verbindungsantworten bestand ein Problem. Dieses Problem wurde behoben, indem der Set-Cookie-Header entfernt wird, während die Verbindungsantwort analysiert wird.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng vom Blue Lotus Team, Universität Tsinghua

  • CFNetwork

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Aktivitäten eines Benutzers nachverfolgen

    Beschreibung: Bei der Verarbeitung von Top-Level-Domains gab es einen Cross-Domain-Cookie. Dieses Problem wurde durch verbesserte Einschränkungen bei der Cookie-Erstellung behoben.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng vom Blue Lotus Team, Universität Tsinghua

  • CFNetwork

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Eine Person mit physischem Zugang zu einem iOS-Gerät kann Cache-Daten aus Apple-Apps lesen

    Beschreibung: Cache-Daten waren mit einem Schlüssel kodiert, der nur über die Hardware-UID geschützt war. Dieses Problem wurde behoben, indem die Cache-Daten mit einem Schlüssel kodiert werden, der über die Hardware-UID und den Code des Benutzers geschützt wird.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz von NESO Security Labs

  • CoreCrypto

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein Angreifer konnte einen privaten Schlüssel ermitteln

    Beschreibung: Durch Beobachten vieler Signier- und Entschlüsselungsversuche konnte ein Angreifer ggf. den privaten RSA-Schlüssel ermitteln. Das Problem wurde durch Verwendung verbesserter Verschlüsselungsalgorithmen behoben.

  • CoreText

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei könnte zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Textdateien konnte es zu Speicherfehlern kommen. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2015-5829: M1x7e1 vom Safeye Team (www.safeye.org)

  • Dev Tools

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In dyld kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5876: beist von grayhash

  • Disk Images

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In DiskImages kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein Programm kann Code-Signaturen umgehen

    Beschreibung: Es bestand ein Problem bei der Überprüfung von Code-Signaturen von ausführbaren Dateien. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Kernel-Rechten ausführen

    Beschreibung: Im Kernel gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Mehrere Schwachstellen in ICU

    Beschreibung: ICU wies mehrere Schwachstellen in den Versionen vor Version 53.1.0 auf. Diese wurden durch die Aktualisierung von ICU auf Version 55.1 behoben.

    CVE-ID

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Das Kernel-Speicher-Layout kann von einem Schadprogramm ermittelt werden

    Beschreibung: Es bestand ein Problem, das dazu führte, dass Inhalte des Kernel-Speichers preisgegeben werden konnten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2015-5834: Cererdlong vom Alibaba Mobile-Sicherheitsteam

  • IOAcceleratorFamily

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In IOAcceleratorFamily kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein in böser Absicht erstelltes Programm kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Im Kernel bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In IOMobileFrameBuffer kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein lokaler Angreifer kann den Kernel-Speicher lesen

    Beschreibung: Im Kernel bestand ein Problem mit der Speicherinitialisierung. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel von IOActive

  • Kernel

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Kernel-Rechten ausführen

    Beschreibung: Im Kernel bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5868: Cererdlong vom Alibaba Mobile-Sicherheitsteam

    CVE-2015-5896: Maxime Villard von m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein lokaler Angreifer kann den Wert von Stapel-Cookies beeinflussen

    Beschreibung: Bei der Erstellung von Stapel-Cookies im User Space gab es mehrere Schwachstellen. Dieses Problem wurde durch eine verbesserte Erstellung von Stapel-Cookies behoben.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein lokaler Prozess kann andere Prozesse ohne Berechtigungsüberprüfung ändern

    Beschreibung: Es bestand ein Problem, bei dem Root-Prozessen, die die API processor_set_tasks verwenden, erlaubt wurde, die Task Ports anderer Prozesse abzurufen. Dieses Problem wurde durch zusätzliche Berechtigungsüberprüfungen behoben.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça, der die ursprüngliche Forschung von Ming-chieh Pan und Sung-ting Tsai fortsetzt; Jonathan Levin

  • Kernel

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein Angreifer in einem lokalen LAN-Segment kann das IPv6-Routing deaktivieren

    Beschreibung: Bei der Verarbeitung von IPv6-Router-Advertisements bestand ein Problem mit einer unzureichenden Überprüfung, welches es einem Angreifer erlaubte, das Hop-Limit auf einen willkürlichen Wert einzustellen. Dieses Problem wurde durch Erzwingen eines Mindest-Hop-Limits behoben.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein lokaler Benutzer könnte das Kernel-Speicher-Layout ermitteln

    Beschreibung: In XNU bestand ein Problem, das dazu führte, dass Inhalte des Kernel-Speichers preisgegeben wurden. Dieses Problem wurde durch eine verbesserte Initialisierung der Kernelspeicherstrukturen behoben.

    CVE-ID

    CVE-2015-5842: beist von grayhash

  • Kernel

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein lokaler Benutzer könnte einen Denial-of-Service des Systems verursachen

    Beschreibung: Bei der HFS-Volumeaktivierung bestand ein Problem. Dieses Problem wurde durch zusätzliche Überprüfungen behoben.

    CVE-ID

    CVE-2015-5748: Maxime Villard von m00nbsd

  • libpthread

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Kernel-Rechten ausführen

    Beschreibung: Im Kernel bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5899: Lufeng Li vom Qihoo 360 Vulcan Team

  • PluginKit

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Ein schadhaftes Unternehmensprogramm kann Erweiterungen installieren, bevor dem Programm vertraut wird

    Beschreibung: Es bestand ein Problem mit der Überprüfung von Erweiterungen während der Installation. Dieses Problem wurde durch eine verbesserte Programmüberprüfung behoben.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue und Tao (Lenx) Wei von FireEye, Inc.

  • removefile

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Die Verarbeitung schadhafter Daten kann zu einem unerwarteten Programmabbruch führen

    Beschreibung: In den "checkint division routines" gab es einen Überlauffehler. Dieses Problem wurde durch verbesserte "division routines" behoben.

    CVE-ID

    CVE-2015-5840: ein anonymer Forscher

  • SQLite

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Mehrere Schwachstellen in SQLite 3.8.5

    Beschreibung: In SQLite 3.8.5 gab es mehrere Schwachstellen. Diese Probleme wurden durch die Aktualisierung von SQLite auf Version 3.8.10.2 behoben.

    CVE-ID

    CVE-2015-5895

  • tidy

    Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Ausführung willkürlichen Codes führen

    Beschreibung: In Tidy kam es zu Speicherfehlern. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz von NULLGroup.com

    CVE-2015-5523: Fernando Muñoz von NULLGroup.com

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: