Informationen zum Sicherheitsinhalt von watchOS 9.3
In diesem Dokument wird der Sicherheitsinhalt von watchOS 9.3 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.
watchOS 9.3
Veröffentlicht am Montag, 23. Januar 2023
AppleMobileFileIntegrity
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben, die nicht autorisierte Aktionen verhindern.
CVE-2023-32438: Csaba Fitzl (@theevilbit) von Offensive Security und Mickey Jin (@patch1t)
Eintrag hinzugefügt am 5. September 2023
AppleMobileFileIntegrity
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Dieses Problem wurde durch die Aktivierung der gehärteten Laufzeit behoben.
CVE-2023-23499: Wojciech Regula von SecuRing (wojciechregula.blog)
Crash Reporter
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Ein Benutzer kann willkürliche Dateien als Root lesen.
Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.
CVE-2023-23520: Cees Elzinga
Eintrag am 6. Juni 2023 hinzugefügt
FontParser
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung einer Schriftdatei kann zur Ausführung von willkürlichem Code führen. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise aktiv für iOS-Versionen ausgenutzt wurde, die vor iOS 15.7.1 veröffentlicht wurden.
Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.
CVE-2023-41990: Apple
Eintrag am 8. September 2023 hinzugefügt
ImageIO
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2023-23519: Meysam Firouzi @R00tkitSMM von Mbition Mercedes-Benz Innovation Lab, Yiğit Can Yılmaz (@yilmazcanyigit) und jzhu in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Eintrag aktualisiert am 5. September 2023
Kernel
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status preisgeben.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) von STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise das Layout des Kernelspeichers ermitteln.
Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) von STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-23504: Adam Doupé von ASU SEFCOM
Maps
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2023-23503: Ein anonymer Forscher
Safari
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Der Besuch einer Website kann zu einem Denial-of-Service bei einer App führen.
Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.
CVE-2023-23512: Adriatik Raci
Screen Time
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise auf Informationen zu den Kontakten eines Benutzers zugreifen.
Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.
CVE-2023-23505: Wojciech Reguła von SecuRing (wojciechregula.blog) und Csaba Fitzl (@theevilbit) von Offensive Security
Eintrag aktualisiert am 6. Juni 2023
Weather
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-23511: Wojciech Reguła von SecuRing (wojciechregula.blog), ein anonymer Forscher
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Eintrag am 28. Juni 2023 hinzugefügt
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Ein HTML-Dokument kann iframes mit vertraulichen Benutzerinformationen darstellen.
Beschreibung: Dieses Problem wurde durch verbesserte Durchsetzung von iframe-Sandbox behoben.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Eintrag am 6. Juni 2023 hinzugefügt
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren und Hang Shu vom Institute of Computing Technology, Chinese Academy of Sciences
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) vom Team ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) vom Team ApplePIE
Zusätzliche Danksagung
AppleMobileFileIntegrity
Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security für die Unterstützung bedanken.
Eintrag am 6. Juni 2023 hinzugefügt
Core Data
Wir möchten uns bei Austin Emmitt (@alkalinesec), Senior Security Researcher beim Trellix Advanced Research Center, für die Unterstützung bedanken.
Eintrag am 8. September 2023 hinzugefügt
Kernel
Wir möchten uns bei Nick Stenning von Replicate für die Unterstützung bedanken.
WebKit
Wir möchten uns bei Eliya Stein von Confiant für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.