Informationen zum Sicherheitsinhalt von watchOS 6.1

In diesem Dokument wird der Sicherheitsinhalt von watchOS 6.1 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

watchOS 6.1

Veröffentlicht am 29. Oktober 2019

Accounts

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein entfernter Angreifer kann möglicherweise ein Speicherleck verursachen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8787: Steffen Klee vom Secure Mobile Networking Lab der Technischen Universität Darmstadt

App Store

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein lokaler Angreifer kann sich möglicherweise beim Account eines zuvor angemeldeten Benutzers ohne gültige Anmeldedaten anmelden.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleFirmwareUpdateKext

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Sperrung behoben.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Audio

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8785: Ian Beer von Google Project Zero

CVE-2019-8797: 08Tc3wBB in Zusammenarbeit mit SSD Secure Disclosure

Kontakte

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Verarbeitung eines bösartigen Kontakts kann zu UI-Spoofing führen.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7152: Oliver Paukstadt von der Thinking Objects GmbH (to.com)

Dateisystemereignisse

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8798: ABC Research s.r.o. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2019-8794: 08Tc3wBB in Zusammenarbeit mit SSD Secure Disclosure

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8786: Ein anonymer Forscher

libxslt

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Mehrere Probleme in libxslt

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8750: gefunden von OSS-Fuzz

VoiceOver

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine Person mit physischem Zugang zu einem iOS-Gerät kann vom Sperrbildschirm aus auf Kontakte zugreifen.

Beschreibung: Dieses Problem wurde durch Einschränkung der Optionen behoben, die auf einem gesperrten Gerät zur Verfügung stehen.

CVE-2019-8775: videosdebarraquito

WebKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8764: Sergei Glazunov von Google Project Zero

WebKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8743: zhunki vom Codesafe Team von Legendsec bei der Qi'anxin Group

CVE-2019-8765: Samuel Groß von Google Project Zero

CVE-2019-8766: gefunden von OSS-Fuzz

CVE-2019-8808: gefunden von OSS-Fuzz

CVE-2019-8811: Soyeon Park vom SSLab der Georgia Tech

CVE-2019-8812: Ein anonymer Forscher

CVE-2019-8816: Soyeon Park vom SSLab der Georgia Tech

CVE-2019-8820: Samuel Groß von Google Project Zero

Zusätzliche Danksagung

boringssl

Wir möchten uns bei Nimrod Aviram von der Tel Aviv University, Robert Merget von der Ruhr-Universität Bochum und Juraj Somorovsky von der Ruhr-Universität Bochum für die Unterstützung bedanken.

CFNetwork

Wir möchten uns bei Lily Chen von Google für die Unterstützung bedanken.

Kernel

Wir möchten uns bei Jann Horn von Google Project Zero für die Unterstützung bedanken.

Safari

Wir möchten uns bei Ron Summers für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Zhiyi Zhang vom Codesafe Team von Legendsec bei der Qi'anxin Group für die Unterstützung bedanken.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: