Informationen zum Sicherheitsinhalt von watchOS 9.4

In diesem Dokument wird der Sicherheitsinhalt von watchOS 9.4 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

watchOS 9.4

Veröffentlicht am Montag, 27. März 2023

AppleMobileFileIntegrity

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Ein Benutzer kann Zugriff auf geschützte Teile des Dateisystems erhalten.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-23527: Mickey Jin (@patch1t)

Calendar

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Das Importieren einer in böswilliger Absicht erstellten Kalendereinladung kann zum Herausfiltern von Benutzerinformationen führen.

Beschreibung: Verschiedene Überprüfungsprobleme wurden durch eine verbesserte Eingabebereinigung behoben.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Camera

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App in einer Sandbox kann unter Umständen ermitteln, welche App die Kamera nutzt.

Beschreibung: Dieses Problem wurde durch zusätzliche Einschränkungen für die Beobachtbarkeit des App-Status behoben.

CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)

Eintrag am 8. Juni 2023 hinzugefügt

CoreCapture

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-28181: Tingting Yin von der Tsinghua-Universität

Find My

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-23537: Adam M.

CVE-2023-28195: Adam M.

Eintrag am 21. Dezember 2023 aktualisiert

FontParser

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Offenlegung des Prozessspeichers führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-27956: Ye Zhang von Baidu Security

Foundation

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Die Analyse einer in böser Absicht erstellten plist-Datei kann zu einem unerwarteten App-Abbruch oder zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-27937: ein anonymer Forscher

Identity Services

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise auf Informationen zu den Kontakten eines Benutzers zugreifen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-27928: Csaba Fitzl (@theevilbit) von Offensive Security

ImageIO

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Offenlegung des Prozessspeichers führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-23535: ryuzaki

ImageIO

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Offenlegung des Prozessspeichers führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) vom Mbition Mercedes-Benz Innovation Lab und jzhu in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

ImageIO

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Die Verarbeitung einer Bilddatei kann zur Offenlegung des Prozessspeichers führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-42862: Meysam Firouzi @R00tkitSMM

CVE-2023-42865: jzhu in Zusammenarbeit mit der Zero Day Initiative von Trend Micro und Meysam Firouzi (@R00tkitSMM) vom Mbition Mercedes-Benz Innovation Lab

Eintrag am 21. Dezember 2023 hinzugefügt

Kernel

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-23536: Félix Poulin-Bélanger und David Pan Ogea

Eintrag am 8. Juni 2023 hinzugefügt, am 21. Dezember 2023 aktualisiert

Kernel

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-27969: Adam Doupé von ASU SEFCOM

Kernel

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-27933: sqrtpwn

Kernel

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-28185: Pan ZhenPeng von STAR Labs SG Pte. Ltd.

Eintrag am 21. Dezember 2023 hinzugefügt

Kernel

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Ein Angreifer, der bereits Codes im Kernel ausführen kann, kann Schutzmaßnahmen für den Kernel-Speicher umgehen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-32424: Zechao Cai (@Zech4o) von der Zhejiang University

Eintrag am 21. Dezember 2023 hinzugefügt

Podcasts

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-27942: Mickey Jin (@patch1t)

Sandbox

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

Eintrag am 8. Juni 2023 hinzugefügt

Shortcuts

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Ein Kurzbefehl kann bei bestimmten Aktionen möglicherweise vertrauliche Daten verwenden, ohne dass der Benutzer eine Aufforderung erhält.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2023-27963: Jubaer Alnazi Jabin von der TRS Group Of Companies und Wenchao Li und Xiaolong Bai von der Alibaba Group

TCC

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2023-27931: Mickey Jin (@patch1t)

WebKit

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten kann möglicherweise die Same Origin Policy umgangen werden.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 248615

CVE-2023-27932: ein anonymer Forscher

WebKit

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine Website kann unter Umständen vertrauliche Benutzerdaten erfassen.

Beschreibung: Das Problem wurde durch Löschung der Ursprungsinformationen behoben.

WebKit Bugzilla: 250837

CVE-2023-27954: ein anonymer Forscher

Zusätzliche Danksagung

Activation Lock

Wir möchten uns bei Christian Mina für die Unterstützung bedanken.

CFNetwork

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

CoreServices

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

ImageIO

Wir möchten uns bei Meysam Firouzi @R00tkitSMM für die Unterstützung bedanken.

Mail

Wir möchten uns bei folgenden Personen für die Unterstützung bedanken: Chen Zhang, Fabian Ising von der FH Münster – University of Applied Sciences, Damian Poddebniak von der FH Münster – University of Applied Sciences, Tobias Kappert von der FH Münster – University of Applied Sciences, Christoph Saatjohann von der FH Münster – University of Applied Sciences, Sebast und Merlin Chlosta vom CISPA Helmholtz-Zentrum für Informationssicherheit.

Safari Downloads

Wir möchten uns bei Andrew Gonzalez für die Unterstützung bedanken.

WebKit

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: