Informationen zum Sicherheitsinhalt von watchOS 3.2

In diesem Dokument wird der Sicherheitsinhalt von watchOS 3.2 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

watchOS 3.2

Veröffentlicht am 27. März 2017

Audio

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2430: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2462: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Carbon

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten DFONT-Datei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2379: riusksk (泉哥) vom Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zu einem Denial-of-Service führen

Beschreibung: Die unendliche Rekursion wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2417: riusksk (泉哥) vom Tencent Security Platform Department

CoreGraphics

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2444: Mei Wang vom 360 GearTeam

CoreText

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textnachricht kann zu einem Denial-of-Service des Programms führen

Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung behoben, indem eine bessere Eingabeüberprüfung erfolgt.

CVE-2017-2461: Ein anonymer Forscher, Isaac Archambault von IDAoADI

FontParser

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2487: riusksk (泉哥) vom Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) vom Tencent Security Platform Department

FontParser

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2407: riusksk (泉哥) vom Tencent Security Platform Department

FontParser

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein manipulierter HTTP/2-Server kann undefiniertes Verhalten auslösen

Beschreibung: nghttp2 wies in den Versionen vor 1.17.0 mehrere Schwachstellen auf. Diese wurden durch Aktualisierung von nghttp2 auf Version 1.17.0 behoben.

CVE-2017-2428

Eintrag aktualisiert am 28. März 2017

ImageIO

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) von KeenLab, Tencent

ImageIO

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Das Anzeigen einer in böser Absicht erstellten JPEG-Datei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2432: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

ImageIO

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2467

ImageIO

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zu einem unerwarteten Programmabbruch führen

Beschreibung: In den LibTIFF-Versionen vor 4.0.7 erfolgte ein Out-of-Bound-Lesevorgang. Dies wurde durch Aktualisieren von LibTIFF in ImageIO auf Version 4.0.7 behoben.

CVE-2016-3619

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2401: Lufeng Li vom Qihoo 360 Vulcan-Team

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Ganzzahl-Überlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2440: Ein anonymer Forscher

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Root-Rechten ausführen

Beschreibung: Eine Race-Bedingung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2456: lokihardt von Google Project Zero

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2472: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2473: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem vom Typ "off-by-one" wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2474: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2017-2478: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2482: Ian Beer von Google Project Zero

CVE-2017-2483: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit erhöhten Benutzerrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2490: Ian Beer von Google Project Zero, Britisches National Cyber Security Centre (NCSC)

Eintrag am 31. März 2017 hinzugefügt

Tastaturen

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code ausführen

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein lokaler Angreifer kann die Dateisystemberechtigungen für willkürliche Verzeichnisse ändern

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung von Symlinks behoben.

CVE-2017-2390: Omer Medan von enSilo Ltd

libc++abi

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Das Demangling eines schädlichen C++-Programms kann zur Ausführung willkürlichen Codes führen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2441

libxslt

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Mehrere Schwachstellen in libxslt

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-5029: Holger Fuhrmannek

Eintrag am 28. März 2017 hinzugefügt

Sicherheit

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit Root-Rechten ausführen

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2451: Alex Radocea von Longterm Security, Inc.

Sicherheit

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten x509-Zertifikats kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Analyse von Zertifikaten kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2485: Aleksandar Nikolic von Cisco Talos

WebKit

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2415: Kai Kang vom Xuanwu Lab von Tencent (tencent.com)

WebKit

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu starker Speichernutzung führen

Beschreibung: Ein Problem mit der unkontrollierten Ressourcennutzung wurde durch eine verbesserte regex-Verarbeitung behoben.

CVE-2016-9643: Gustavo Grieco

WebKit

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2471: Ivan Fratric von Google Project Zero

Zusätzliche Danksagung

XNU

Wir danken Lufeng Li vom Qihoo 360 Vulcan Team für die Unterstützung.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: 2017-04-12