Informationen zum Sicherheitsinhalt von Watch OS 1.0.1
In diesem Dokument wird der Sicherheitsinhalt von Watch OS 1.0.1 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
Watch OS 1.0.1
Richtlinie für vertrauenswürdige Zertifikate
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Die Richtlinie für vertrauenswürdige Zertifikate wurde aktualisiert.
Beschreibung: Die Richtlinie für vertrauenswürdige Zertifikate wurde aktualisiert. Eine vollständige Liste der Zertifikate kann unter https://support.apple.com/kb/HT204873?viewlocale=de_DE eingesehen werden.
FontParser
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei könnte zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2015-1093: Marc Schoenefeld
Foundation
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Ein Programm, das NSXMLParser verwendet, könnte missbraucht werden, um Daten preiszugeben.
Beschreibung: Bei der Verarbeitung von XML-Daten konnte es zu einem Problem mit externen XML-Entitäten kommen. Das Problem wurde behoben, indem externe Entitäten nicht herkunftsübergreifend geladen werden.
CVE-ID
CVE-2015-1092: Ikuya Fukumoto
IOHIDFamily
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Ein Schadprogramm könnte das Kernel-Speicher-Layout ermitteln.
Beschreibung: In IOHIDFamily bestand ein Problem, das dazu führte, dass Inhalte des Kernel-Speichers preisgegeben werden konnten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2015-1096: Ilja van Sprundel von IOActive
IOAcceleratorFamily
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Ein Schadprogramm könnte das Kernel-Speicher-Layout ermitteln.
Beschreibung: In IOAcceleratorFamily bestand ein Problem, das dazu führte, dass Inhalte des Kernel-Speichers preisgegeben werden konnten. Das Problem wurde durch Entfernen des nicht benötigten Codes behoben.
CVE-ID
CVE-2015-1094: Cererdlong vom Alibaba Mobile-Sicherheitsteam
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Ein Schadprogramm könnte einen Denial-of-Service des Systems verursachen.
Beschreibung: Im Systemaufruf setreuid des Kernels bestand eine Race-Bedingung. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-ID
CVE-2015-1099: Mark Mentovai von Google Inc.
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition könnte den Benutzerverkehr auf willkürliche Hosts umleiten.
Beschreibung: ICMP-Umleitungen waren in iOS standardmäßig aktiviert. Dieses Problem wurde behoben, indem ICMP-Umleitungen deaktiviert wurden.
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Ein entfernter Angreifer könnte einen Denial-of-Service-Angriff verursachen.
Beschreibung: Bei der Verarbeitung von TCP-out-of-band-Daten bestand ein Problem mit der Inkonsistenz von Statusangaben. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-ID
CVE-2015-1105: Kenton Varda von Sandstorm.io
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Ein Schadprogramm könnte Rechte mithilfe eines kompromittierten Diensts eskalieren, der nur mit begrenzten Rechten ausgeführt werden sollte.
Beschreibung: Die Systemaufrufe setreuid und setregid gaben Rechte nicht ganz auf. Dieses Problem wurde behoben, indem Rechte korrekt aufgegeben werden.
CVE-ID
CVE-2015-1117: Mark Mentovai von Google Inc.
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Ein entfernter Angreifer könnte Netzwerkfilter umgehen.
Beschreibung: Das System würde manche IPv6-Pakete von entfernten Netzwerkschnittstellen als lokale Pakete behandeln. Das Problem wurde durch Zurückweisen dieser Pakete behoben.
CVE-ID
CVE-2015-1104: Stephen Roettger vom Google-Sicherheitsteam
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition könnte einen Denial-of-Service-Angriff verursachen.
Beschreibung: Bei der Verarbeitung von TCP-Headern bestand eine Statusinkonsistenz. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-ID
CVE-2015-1102: Andrey Khudyakov und Maxim Zhuravlev von Kaspersky Lab
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Ein Schadprogramm könnte einen unerwarteten Systemabbruch verursachen oder Kernel-Speicher lesen.
Beschreibung: Im Kernel bestand ein Problem mit grenzüberschreitendem Speicherzugriff. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2015-1100: Maxime Villard von m00nbsd
Kernel
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Im Kernel bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2015-1101: lokihardt@ASRT in Zusammenarbeit mit der HP Zero Day Initiative
Secure Transport
Verfügbar für: Apple Watch Sport, Apple Watch und Apple Watch Edition
Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann möglicherweise SSL- oder TLS-Verbindungsdaten abfangen.
Beschreibung: Secure Transport hat kurze ephemere RSA-Schlüssel, die üblicherweise nur in RSA-Cipher Suites mit Exportstärke eingesetzt wurden, auch bei Verbindungen akzeptiert, die RSA-Cipher Suites mit voller Stärke verwenden. Dieses Problem, das auch als FREAK bezeichnet wird, betraf nur Verbindungen zu Servern, die RSA-Cipher Suites mit Exportstärke unterstützen, und wurde dadurch behoben, dass ephemere RSA-Schlüssel nicht mehr unterstützt werden.
CVE-ID
CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti und Jean Karim Zinzindohoue von Prosecco am Forschungsinstitut INRIA Paris
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.