Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekanntgegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
watchOS 2.2
Images
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Bei der Analyse von Images kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2016-1717: Frank Graziano vom Yahoo! Pentest-Team
FontParser
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Durch eine verbesserte Speicherverarbeitung wurde ein Speicherproblem behoben.
CVE-ID
CVE-2016-1740: HappilyCoded (ant4g0nist und r3dsm0k3) in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro
HTTP-Protokoll
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Ein Remoteangreifer kann willkürliche Codes ausführen.
Beschreibung: In Nghttp2-Versionen vor Version 1.6.0 existierten mehrere Schwachstellen, die im schlimmsten Fall zur Codeausführung durch einen Remoteangreifer führen konnten. Diese Probleme wurden durch die Aktualisierung von Nghttp2 auf Version 1.6.0 behoben.
CVE-ID
CVE-2015-8659
IOHIDFamily
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2016-1719: Ian Beer von Google Project Zero
IOHIDFamily
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Das Kernel-Speicher-Layout könnte von einem Programm ermittelt werden.
Beschreibung: Durch eine verbesserte Speicherverarbeitung wurde ein Speicherproblem behoben.
CVE-ID
CVE-2016-1748: Brandon Azad
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2016-1720: Ian Beer von Google Project Zero
CVE-2016-1721: Ian Beer von Google Project Zero und Ju Zhu von Trend Micro
CVE-2016-1754: Lufeng Li vom Qihoo 360 Vulcan-Team
CVE-2016-1755: Ian Beer vom Google Project Zero
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Durch eine verbesserte Speicherverwaltung wurde ein Use-After-Free-Problem behoben.
CVE-ID
CVE-2016-1750: CESG
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Durch eine Verbesserung der Eingabeüberprüfung wurden mehrere Ganzzahlüberläufe behoben.
CVE-ID
CVE-2016-1753: Juwei Lin Trend Micro in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Ein Programm kann Codesignierung umgehen
Beschreibung: Es existierte ein Berechtigungsfehler, bei dem die Ausführungsberechtigung fehlerhaft zugewiesen wurde. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.
CVE-ID
CVE-2016-1751: Eric Monti von Square Mobile Security
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Ein Programm könnte einen Denial-of-Service-Angriff verursachen.
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Validierung behoben.
CVE-ID
CVE-2016-1752: CESG
libxml2
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Symptom: Die Verarbeitung einer in böswilliger Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-1819
CVE-2015-5312: David Drysdale von Google
CVE-2015-7499
CVE-2015-7500: Kostya Serebryany von Google
CVE-2015-7942: Kostya Serebryany von Google
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1761: wol0xff in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro
CVE-2016-1762
libxslt
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Symptom: Die Verarbeitung einer in böswilliger Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen.
Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-7995: puzzor
Nachrichten
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Ein Angreifer, der das festgesetzte Zertifikat von Apple umgehen, TLS-Verbindungen abhören, Nachrichten einführen und verschlüsselte Nachrichten im Anhangstyp aufzeichnen kann, könnte möglicherweise Anhänge auslesen.
Beschreibung: Durch die Abweisung duplizierter Nachrichten auf dem Client wurde ein kryptografisches Problem behoben.
CVE-ID
CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers und Michael Rushanan von der Johns Hopkins University
Sicherheit
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Zertifikats kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Im ASN.1-Decoder bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2016-1950: Francis Gabriel von Quarkslab
syslog
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Durch eine verbesserte Speicherverarbeitung wurde ein Speicherproblem behoben.
CVE-ID
CVE-2016-1722: Joshua J. Drake und Nikias Bassen von Zimperium zLabs
TrueTypeScaler
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei könnte zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2016-1775: 0x1byte in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro
WebKit
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2016-1723: Apple
CVE-2016-1724: Apple
CVE-2016-1725: Apple
CVE-2016-1726: Apple
CVE-2016-1727: Apple
WLAN
Verfügbar für: Apple Watch Sport, Apple Watch, Apple Watch Edition und Apple Watch Hermes
Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen.
Beschreibung: Für einen bestimmten Ethertype bestanden ein Frame-Validierungsproblem und ein Speicherfehler. Dieses Problem wurde durch eine zusätzliche Ethertype-Überprüfung und eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2016-0801: ein anonymer Forscher
CVE-2016-0802: ein anonymer Forscher