Informationen zum Sicherheitsinhalt von watchOS 4

In diesem Dokument wird der Sicherheitsinhalt von watchOS 4 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

watchOS 4

802.1X

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Angreifer kann Schwachstellen in TLS 1.0 ausnutzen

Beschreibung: Ein Problem mit der Protokollsicherheit wurde durch Aktivieren von TLS 1.1 und TLS 1.2 behoben.

CVE-2017-13832: Doug Wussler von der Florida State University

CFNetwork

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13829: Niklas Baumstark und Samuel Groß in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-13833: Niklas Baumstark und Samuel Groß in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CFNetwork-Proxys

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Angreifer an einer privilegierten Netzwerkposition kann einen Denial-of-Service verursachen

Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7083: Abhinav Bansal von Zscaler Inc.

CFString

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

CoreAudio

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Lesevorgang außerhalb der Speicherbegrenzungen wurde durch Aktualisieren auf die Opus-Version 1.1.4 behoben.

CVE-2017-0381: V.E.O (@VYSEa) vom Mobile Threat Research Team, Trend Micro

CoreText

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

file

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Mehrere Probleme in file

Beschreibung: Mehrere Probleme wurden durch eine Aktualisierung auf Version 5.31 behoben.

CVE-2017-13815: Gefunden von OSS-Fuzz

Fonts

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Das Rendern von nicht vertrauenswürdigem Text kann zu Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-13828: Leonard Grey und Robert Sesek von Google Chrome

HFS

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13830: Sergej Schumilo von der Ruhr-Universität Bochum

ImageIO

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

ImageIO

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13831: Glen Carmichael

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein lokaler Benutzer kann den Kernel-Speicher auslesen

Beschreibung: Es bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dies führte dazu, dass Inhalte des Kernelspeichers offengelegt wurden. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13817: Maxime Villard (m00nbsd)

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-13818: Britisches National Cyber Security Centre (NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Ein anonymer Forscher

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13843: Ein anonymer Forscher, ein anonymer Forscher

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7114: Alex Plaskett von MWR InfoSecurity

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13854: shrek_wzw vom Qihoo 360 Nirvan Team

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer fehlerhaft erstellten Mach-Binärdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-13834: Maxime Villard (m00nbsd)

Kernel

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Schadprogramm kann Informationen zur Installation und Ausführung von anderen Programmen auf dem Gerät auslesen.

Beschreibung: Ein Programm hatte unbeschränkten Zugriff auf Informationen zur Netzwerkaktivität des Betriebssystems. Das Problem wurde behoben, indem der Zugang zu Informationen für Drittanbieterprogramme eingeschränkt wurde.

CVE-2017-13873: Xiaokuan Zhang und Yinqian Zhang von der Ohio State University, Xueqiang Wang und Xiaofeng Wang von der Indiana University Bloomington und Xiaolong Bai von der Tsinghua University

libarchive

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13813: Gefunden von OSS-Fuzz

CVE-2017-13816: Gefunden von OSS-Fuzz

libarchive

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: In libarchive kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13812: Gefunden von OSS-Fuzz

libc

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service verursachen

Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung in glob() durch einen verbesserten Algorithmus behoben.

CVE-2017-7086: Russ Cox von Google

libc

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann einen Denial-of-Service verursachen

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-1000373

libexpat

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Mehrere Probleme in expat

Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 2.2.1 behoben.

CVE-2016-9063

CVE-2017-9233

libxml2

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-9049: Wei Lei und Liu Yang - Nanyang Technological University in Singapur

libxml2

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7376: Ein anonymer Forscher

CVE-2017-5130: Ein anonymer Forscher

libxml2

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-9050: Mateusz Jurczyk (j00ru) von Google Project Zero

libxml2

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Überprüfung behoben.

CVE-2018-4302: Gustavo Grieco

Sicherheit

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Einem widerrufenen Zertifikat wird möglicherweise vertraut

Beschreibung: Bei der Verarbeitung von Widerrufsdaten bestand ein Problem bei der Überprüfung von Zertifikaten. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-7080: Ein anonymer Forscher, Sven Driemecker von der adesso mobile solutions GmbH, ein anonymer Forscher, Rune Darrud (@theflyingcorpse) aus der Kommune Bærum

SQLite

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Mehrere Probleme in SQLite

Beschreibung: Mehrere Probleme wurden durch eine Aktualisierung auf Version 3.19.3 behoben.

CVE-2017-10989: Gefunden von OSS-Fuzz

CVE-2017-7128: Gefunden von OSS-Fuzz

CVE-2017-7129: Gefunden von OSS-Fuzz

CVE-2017-7130: Gefunden von OSS-Fuzz

SQLite

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7127: Ein anonymer Forscher

WLAN

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann zur Ausführung willkürlichen Codes mit Kernel-Berechtigungen auf dem Anwendungsprozessor führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7103: Gal Beniamini von Google Project Zero

CVE-2017-7105: Gal Beniamini von Google Project Zero

CVE-2017-7108: Gal Beniamini von Google Project Zero

CVE-2017-7110: Gal Beniamini von Google Project Zero

CVE-2017-7112: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann beschränkten Kernel-Speicher auslesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-7116: Gal Beniamini von Google Project Zero

zlib

Verfügbar für: Alle Apple Watch-Modelle

Auswirkung: Mehrere Probleme in zlib

Beschreibung: Mehrere Probleme wurden durch eine Aktualisierung auf Version 1.2.11 behoben.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Zusätzliche Danksagung

Sicherheit

Wir danken Abhinav Bansal von Zscaler, Inc. für die Unterstützung.