Monday, February 28, 2022

Über den Sicherheitsinhalt von watchOS 5

Über den Sicherheitsinhalt von watchOS 5

Dieses Dokument beschreibt den Sicherheitsinhalt von watchOS 5.

Über Apple-Sicherheitsupdates

Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Versionen verfügbar sind. Aktuelle Versionen sind auf der Apple-Seite für Sicherheitsupdates aufgeführt.

Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit . Sie können die Kommunikation mit Apple mit dem Apple Product Security PGP Key verschlüsseln.

Apple-Sicherheitsdokumente verweisen wenn möglich auf Schwachstellen per CVE-ID .

watchOS 5

Veröffentlicht am 17. September 2018

CFNetzwerk

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4126: Bruno Keith (@bkth_) arbeitet mit der Zero Day Initiative von Trend Micro zusammen

Eintrag hinzugefügt am 30. Oktober 2018

CoreFoundation

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine bösartige Anwendung kann möglicherweise Berechtigungen erhöhen

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2018-4412: Das britische National Cyber ​​Security Centre (NCSC)

Eintrag hinzugefügt am 30. Oktober 2018

CoreFoundation

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Berechtigungen erlangen

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2018-4414: Das britische National Cyber ​​Security Centre (NCSC)

Eintrag hinzugefügt am 30. Oktober 2018

CoreText

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4347: ein anonymer Forscher

Eintrag hinzugefügt am 30. Oktober 2018

dyld

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine bösartige Anwendung kann möglicherweise geschützte Teile des Dateisystems ändern

Beschreibung: Ein Konfigurationsproblem wurde mit zusätzlichen Einschränkungen behoben.

CVE-2018-4433: Vitaly Cheptsov

Eintrag hinzugefügt am 22. Januar 2019

Grand Central Dispatch

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4426: Brandon Azad

Eintrag hinzugefügt am 30. Oktober 2018

Heimdal

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Eintrag hinzugefügt am 30. Oktober 2018

IOHIDFamilie

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine bösartige Anwendung kann beliebigen Code mit Kernel-Privilegien ausführen

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2018-4408: Ian Beer von Google Project Zero

Eintrag hinzugefügt am 30. Oktober 2018, aktualisiert am 1. August 2019

IOKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine bösartige Anwendung kann möglicherweise aus ihrer Sandbox ausbrechen

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4341: Ian Beer von Google Project Zero

CVE-2018-4354: Ian Beer von Google Project Zero

Eintrag hinzugefügt am 30. Oktober 2018

IOKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.

CVE-2018-4383: Apple

Eintrag hinzugefügt am 24. Oktober 2018

IOUserEthernet

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4401: Apple

Eintrag hinzugefügt am 30. Oktober 2018

iTunes-Store

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Angreifer in einer privilegierten Position im Netzwerk kann möglicherweise Kennwortaufforderungen im iTunes Store fälschen

Beschreibung: Ein Problem mit der Eingabevalidierung wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2018-4305: Jerry Decime

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen

Beschreibung: Im Kernel bestand ein Problem mit der Eingabevalidierung. Dieses Problem wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2018-4363: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer von Google Project Zero

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: Das britische National Cyber ​​Security Centre (NCSC)

CVE-2018-4425: cc in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Juwei Lin (@panicaII) von Trend Micro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag hinzugefügt am 24. September 2018, aktualisiert am 30. Oktober 2018

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine bösartige Anwendung kann möglicherweise vertrauliche Benutzerinformationen preisgeben

Beschreibung: Bei privilegierten API-Aufrufen bestand ein Zugriffsproblem. Dieses Problem wurde mit zusätzlichen Einschränkungen behoben.

CVE-2018-4399: Fabiano Anemone (@anoane)

Eintrag hinzugefügt am 30. Oktober 2018

Kernel

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Angreifer in einer privilegierten Position im Netzwerk kann möglicherweise beliebigen Code ausführen

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Validierung behoben.

CVE-2018-4407: Kevin Backhouse von Semmle Ltd.

Eintrag hinzugefügt am 30. Oktober 2018

Safari

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein lokaler Benutzer kann möglicherweise Websites entdecken, die ein Benutzer besucht hat

Beschreibung: Bei der Verarbeitung von Anwendungs-Snapshots bestand ein Konsistenzproblem. Das Problem wurde durch eine verbesserte Handhabung von Anwendungs-Snapshots behoben.

CVE-2018-4313: 11 anonyme Forscher, David Scott, Enes Mert Ulu von Abdullah Mürşide Özünenek Anadolu Lisesi - Ankara/Türkiye, Mehmet Ferit Daştan von der Van Yüzüncü Yıl University, Metin Altug Karakaya von der Kaliptus Medical Organization, Vinodh Swami von der Western Governor's University (WGU)

Sicherheit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein Angreifer kann Schwachstellen im kryptografischen RC4-Algorithmus ausnutzen

Beschreibung: Dieses Problem wurde durch Entfernen von RC4 behoben.

CVE-2016-1777: Pepi Zawodsky

Sicherheit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ein lokaler Benutzer kann möglicherweise einen Denial-of-Service verursachen

Beschreibung: Dieses Problem wurde durch verbesserte Überprüfungen behoben.

CVE-2018-4395: Patrick Wardle von Digita Security

Eintrag hinzugefügt am 30. Oktober 2018

Symptom-Framework

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen

Beschreibung: Ein Lesevorgang außerhalb der Grenzen wurde durch eine verbesserte Überprüfung der Grenzen behoben.

CVE-2018-4203: Bruno Keith (@bkth_) arbeitet mit der Zero Day Initiative von Trend Micro zusammen

Eintrag hinzugefügt am 30. Oktober 2018

Text

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zu einem Denial-of-Service führen

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Validierung behoben.

CVE-2018-4304: jianan.huang (@Sevck)

Eintrag hinzugefügt am 30. Oktober 2018

WebKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine bösartige Website kann unerwartetes Cross-Origin-Verhalten verursachen

Beschreibung: Bei Iframe-Elementen bestand ein Cross-Origin-Problem. Dies wurde durch eine verbesserte Nachverfolgung von Sicherheitsursprüngen behoben.

CVE-2018-4319: John Pettitt von Google

Eintrag hinzugefügt am 24. September 2018

WebKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine unerwartete Interaktion verursacht einen ASSERT-Fehler

Beschreibung: Ein Speicherverbrauchsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4361: gefunden von OSS-Fuzz

CVE-2018-4474: gefunden von OSS-Fuzz

Eintrag hinzugefügt am 24. September 2018, aktualisiert am 22. Januar 2019

WebKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Eine unerwartete Interaktion verursacht einen ASSERT-Fehler

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Validierung behoben.

CVE-2018-4191: gefunden von OSS-Fuzz

Eintrag hinzugefügt am 24. September 2018

WebKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Ursprungsübergreifende SecurityErrors enthalten den Ursprung des Frames, auf den zugegriffen wurde

Beschreibung: Das Problem wurde durch Entfernen der Ursprungsinformationen behoben.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

Eintrag hinzugefügt am 24. September 2018

WebKit

Verfügbar für: Apple Watch Series 1 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherbeschädigungsprobleme wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4299: Samuel Groβ (saelo) arbeitet mit der Zero Day Initiative von Trend Micro zusammen

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4358: @phoenhex Team (@bkth_ @5aelo @_niklasb) arbeitet mit der Zero Day Initiative von Trend Micro zusammen

Eintrag hinzugefügt am 24. September 2018

Zusätzliche Anerkennung

Kerndatei

Wir möchten Andreas Kurtz (@aykay) von NESO Security Labs GmbH für seine Unterstützung danken.

Sandbox-Profile

Wir danken Tencent Keen Security Lab für die Zusammenarbeit mit der Zero Day Initiative von Trend Micro für ihre Unterstützung.

SQLite

Wir möchten Andreas Kurtz (@aykay) von NESO Security Labs GmbH für seine Unterstützung danken.

WebKit

Wir danken Tencent Keen Security Lab für die Zusammenarbeit mit der Zero Day Initiative von Trend Micro für ihre Unterstützung.

Informationen über Produkte, die nicht von Apple hergestellt wurden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet wurden, werden ohne Empfehlung oder Billigung bereitgestellt. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Websites oder Produkten von Drittanbietern. Apple macht keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit von Websites Dritter. Wenden Sie sich an den Anbieter , um weitere Informationen zu erhalten.

No comments:

Post a Comment