Informationen zum Sicherheitsinhalt von watchOS 8.7

Dieses Dokument beschreibt die Sicherheitsinhalte von watchOS 8.7.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

watchOS 8.7

APFS

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleAVD

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Remotebenutzer können die Ausführung von Kernelcode verursachen.

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32788: Natalie Silvanovich von Google Project Zero

AppleAVD

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32824: Antonio Zekic (@antoniozekic) und John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32826: Mickey Jin (@patch1t) von Trend Micro

Apple Neural Engine

Verfügbar für Geräte mit Apple Neural Engine: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32845: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Verfügbar für Geräte mit Apple Neural Engine: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32840: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Verfügbar für Geräte mit Apple Neural Engine: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32810: Mohamed Ghannam (@_simo36)

Audio

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-32820: Ein anonymer Forscher

Audio

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32825: John Aakerblom (@jaakerblom)

CoreText

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32839: STAR Labs (@starlabs_sg)

File System Events

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32819: Joshua Mason von Mandiant

GPU Drivers

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Mehrere Probleme, aufgrund derer Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32793: Ein anonymer Forscher

GPU Drivers

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-32821: John Aakerblom (@jaakerblom)

ICU

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) von SSD Secure Disclosure Labs & DNSLab, Korea Univ.

ImageIO

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Offenlegung des Prozessspeichers führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32841: hjy79425575

JavaScriptCore

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-48503: Dongzhuo Zhao in Zusammenarbeit mit ADLab von Venustech und ZhaoHai von Cyberpeace Tech Co., Ltd.

Kernel

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32813: Xinru Chi vom Pangu Lab

CVE-2022-32815: Xinru Chi vom Pangu Lab

Kernel

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32817: Xinru Chi vom Pangu Lab

Kernel

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Eine App mit willkürlichen Kernel-Lese- und Schreibrechten kann möglicherweise die Authentifizierung von Zeigern umgehen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)

Liblouis

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Eine App kann einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC of China (nipc.org.cn)

libxml2

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Eine App kann möglicherweise vertrauliche Benutzerdaten preisgeben.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32823

Multi-Touch

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Multi-Touch

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Software Update

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Benutzer in einer privilegierten Netzwerkposition können die Aktivitäten von Benutzern nachverfolgen.

Beschreibung: Dieses Problem wurde durch die Verwendung von HTTPS beim Senden von Informationen über das Netzwerk behoben.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

WebKit

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) und xmzyshypnc(@xmzyshypnc1)

WebKit

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.

Beschreibung: Das Problem wurde durch verbesserte UI-Verwaltung behoben.

CVE-2022-32816: Dohyun Lee (@l33d0hyun) von SSD Secure Disclosure Labs & DNSLab, Korea Univ.

WebKit

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-32792: Manfred Paul (@_manfp) in Zusammenarbeit mit der Trend Micro Zero Day Initiative

Wi-Fi

Verfügbar für: Apple Watch Series 3 und neuer

Auswirkung: Remotebenutzer können einen unerwarteten Systemabbruch oder einen Fehler beim Kernel-Speicher verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32847: Wang Yu von Cyberserval

Zusätzliche Danksagung

AppleMobileFileIntegrity

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security, Mickey Jin (@patch1t) von Trend Micro und Wojciech Reguła (@_r3ggi) von SecuRing für die Unterstützung bedanken.

configd

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security, Mickey Jin (@patch1t) von Trend Micro und Wojciech Reguła (@_r3ggi) von SecuRing für die Unterstützung bedanken.