Informationen zum Sicherheitsinhalt von watchOS 5.1.3

In diesem Dokument wird der Sicherheitsinhalt von watchOS 5.1.3 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit.

watchOS 5.1.3

Veröffentlicht am 22. Januar 2019

AppleKeyStore

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-6235: Brandon Azad

Core Media

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-6202: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CoreAnimation

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-6231: Zhuo Liang vom Qihoo 360 Nirvan Team

CoreAnimation

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6230: Proteas, Shrek_wzw und Zhuo Liang vom Qihoo 360 Nirvan Team

FaceTime

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Remote-Angreifer ist möglicherweise in der Lage, einen FaceTime-Anruf zu initiieren, der ein willkürliches Ausführen von Code verursacht.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6224: Natalie Silvanovich von Google Project Zero

IOKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6214: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-6210: Ned Williamson von Google

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-6213: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Das Layout des Kernelspeichers kann von einem Schadprogramm ermittelt werden.

Beschreibung: Es bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dies führte dazu, dass Inhalte des Kernelspeichers offengelegt wurden. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-6209: Brandon Azad von Google Project Zero

Verarbeitung natürlicher Sprache

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2019-6219: Authier Thomas

SQLite

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-20346: Tencent Blade Team

CVE-2018-20505: Tencent Blade Team

CVE-2018-20506: Tencent Blade Team

WebKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6227: Qixun Zhao vom Qihoo 360 Vulcan Team

WebKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6216: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-6217: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Proteas, Shrek_wzw und Zhuo Liang vom Qihoo 360 Nirvan Team

CVE-2019-6226: Apple

Zusätzliche Danksagung

mDNSResponder

Wir möchten uns bei Fatemah Alharbi von der University of California, Riverside (UCR), und Taibah University (TU), Jie Chang von LinkSure Network, Yuchen Zhou von der Northeastern University, Feng Qian von der University of Minnesota – Twin City, Zhiyun Qian von der University of California, Riverside (UCR), und Nael Abu-Ghazaleh von der University of California, Riverside (UCR), für die Unterstützung bedanken.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: