Informationen zum Sicherheitsinhalt von watchOS 2.2

In diesem Dokument wird der Sicherheitsinhalt von watchOS 2.2 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekanntgegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

watchOS 2.2

  • Images

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.

    Beschreibung: Bei der Analyse von Images kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2016-1717: Frank Graziano vom Yahoo!  Pentest-Team

  • FontParser

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Durch eine verbesserte Speicherverarbeitung wurde ein Speicherproblem behoben.

    CVE-ID

    CVE-2016-1740: HappilyCoded (ant4g0nist und r3dsm0k3) in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro

  • HTTP-Protokoll

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Ein Remoteangreifer kann willkürliche Codes ausführen.

    Beschreibung: In Nghttp2-Versionen vor Version 1.6.0 existierten mehrere Schwachstellen, die im schlimmsten Fall zur Codeausführung durch einen Remoteangreifer führen konnten. Diese Probleme wurden durch die Aktualisierung von Nghttp2 auf Version 1.6.0 behoben.

    CVE-ID

    CVE-2015-8659

  • IOHIDFamily

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.

    Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2016-1719: Ian Beer von Google Project Zero

  • IOHIDFamily

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Das Kernel-Speicher-Layout könnte von einem Programm ermittelt werden.

    Beschreibung: Durch eine verbesserte Speicherverarbeitung wurde ein Speicherproblem behoben.

    CVE-ID

    CVE-2016-1748: Brandon Azad

  • Kernel

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.

    Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2016-1720: Ian Beer von Google Project Zero

    CVE-2016-1721: Ian Beer von Google Project Zero und Ju Zhu von Trend Micro

    CVE-2016-1754: Lufeng Li vom Qihoo 360 Vulcan-Team

    CVE-2016-1755: Ian Beer vom Google Project Zero

  • Kernel

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.

    Beschreibung: Durch eine verbesserte Speicherverwaltung wurde ein Use-After-Free-Problem behoben.

    CVE-ID

    CVE-2016-1750: CESG

  • Kernel

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.

    Beschreibung: Durch eine Verbesserung der Eingabeüberprüfung wurden mehrere Ganzzahlüberläufe behoben.

    CVE-ID

    CVE-2016-1753: Juwei Lin Trend Micro in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro

  • Kernel

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Ein Programm kann Codesignierung umgehen

    Beschreibung: Es existierte ein Berechtigungsfehler, bei dem die Ausführungsberechtigung fehlerhaft zugewiesen wurde. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

    CVE-ID

    CVE-2016-1751: Eric Monti von Square Mobile Security

  • Kernel

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Ein Programm könnte einen Denial-of-Service-Angriff verursachen.

    Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Validierung behoben.

    CVE-ID

    CVE-2016-1752: CESG

  • libxml2

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Symptom: Die Verarbeitung einer in böswilliger Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen.

    Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: David Drysdale von Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany von Google

    CVE-2015-7942: Kostya Serebryany von Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro

    CVE-2016-1762

  • libxslt

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Symptom: Die Verarbeitung einer in böswilliger Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen.

    Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-7995: puzzor 

  • Nachrichten

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Ein Angreifer, der das festgesetzte Zertifikat von Apple umgehen, TLS-Verbindungen abhören, Nachrichten einführen und verschlüsselte Nachrichten im Anhangstyp aufzeichnen kann, könnte möglicherweise Anhänge auslesen.

    Beschreibung: Durch die Abweisung duplizierter Nachrichten auf dem Client wurde ein kryptografisches Problem behoben.

    CVE-ID

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers und Michael Rushanan von der Johns Hopkins University

  • Sicherheit

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Zertifikats kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: Im ASN.1-Decoder bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2016-1950: Francis Gabriel von Quarkslab

  • syslog

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.

    Beschreibung: Durch eine verbesserte Speicherverarbeitung wurde ein Speicherproblem behoben.

    CVE-ID

    CVE-2016-1722: Joshua J. Drake und Nikias Bassen von Zimperium zLabs

  • TrueTypeScaler

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei könnte zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2016-1775: 0x1byte in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro

  • WebKit

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2016-1723: Apple

    CVE-2016-1724: Apple

    CVE-2016-1725: Apple

    CVE-2016-1726: Apple

    CVE-2016-1727: Apple

  • WLAN

    Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes

    Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen.

    Beschreibung: Für einen bestimmten Ethertype bestanden ein Frame-Validierungsproblem und ein Speicherfehler. Dieses Problem wurde durch eine zusätzliche Ethertype-Überprüfung und eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2016-0801: ein anonymer Forscher

    CVE-2016-0802: ein anonymer Forscher

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: