Über den Sicherheitsinhalt von watchOS 5.2
Dieses Dokument beschreibt den Sicherheitsinhalt von watchOS 5.2.
Über Apple-Sicherheitsupdates
Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Versionen verfügbar sind. Aktuelle Versionen sind auf der Apple-Seite für Sicherheitsupdates aufgeführt.
Apple-Sicherheitsdokumente verweisen wenn möglich auf Schwachstellen per CVE-ID .
Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit .
watchOS 5.2
Veröffentlicht am 27. März 2019
Konten
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten vcf-Datei kann zu einem Denial-of-Service führen
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Validierung behoben.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
Eintrag hinzugefügt am 3. April 2019
CFString
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Zeichenfolge kann zu einem Denial-of-Service führen
Beschreibung: Ein Validierungsproblem wurde mit verbesserter Logik behoben.
CVE-2019-8516: SWIPS-Team von Frifee Inc.
Konfig
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine bösartige Anwendung kann möglicherweise Berechtigungen erhöhen
Beschreibung: Ein Problem bei der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Kontakte
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine bösartige Anwendung kann möglicherweise Berechtigungen erhöhen
Beschreibung: Ein Pufferüberlaufproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8511: ein anonymer Forscher
CoreCrypto
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine bösartige Anwendung kann möglicherweise Berechtigungen erhöhen
Beschreibung: Ein Pufferüberlauf wurde durch eine verbesserte Begrenzungsprüfung behoben.
CVE-2019-8542: ein anonymer Forscher
Datei
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Durch die Verarbeitung einer in böser Absicht erstellten Datei können Benutzerinformationen offengelegt werden
Beschreibung: Ein Lesevorgang außerhalb der Grenzen wurde durch eine verbesserte Überprüfung der Grenzen behoben.
CVE-2019-8906: Francisco Alonso
Eintrag aktualisiert am 15. April 2019
Stiftung
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine Anwendung kann möglicherweise erhöhte Berechtigungen erlangen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2019-7286: ein anonymer Forscher, Clement Lecigne von Google Threat Analysis Group, Ian Beer von Google Project Zero und Samuel Groß von Google Project Zero
GeoServices
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Das Klicken auf einen böswilligen SMS-Link kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Validierung behoben.
CVE-2019-8553: ein anonymer Forscher
iAP
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine bösartige Anwendung kann möglicherweise Berechtigungen erhöhen
Beschreibung: Ein Pufferüberlauf wurde durch eine verbesserte Begrenzungsprüfung behoben.
CVE-2019-8542: ein anonymer Forscher
IOHIDFamilie
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein lokaler Benutzer kann möglicherweise eine unerwartete Systembeendigung verursachen oder Kernelspeicher lesen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2019-8545: Adam Donenfeld (@doadam) vom Zimperium zLabs-Team
Kernel
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein entfernter Angreifer kann möglicherweise Netzwerkverkehrsdaten ändern
Beschreibung: Bei der Verarbeitung von IPv6-Paketen bestand ein Speicherbeschädigungsproblem. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-5608: Apple
Eintrag hinzugefügt am 6. August 2019
Kernel
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein entfernter Angreifer kann Speicherlecks erzielen
Beschreibung: Es bestand ein Leseproblem außerhalb der Grenzen, das zur Offenlegung des Kernelspeichers führte. Dies wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2019-8547: derrek (@derrekr6)
Eintrag hinzugefügt am 30. Mai 2019
Kernel
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2019-8525: Zhuo Liang und shrek_wzw vom Qihoo 360 Nirvan Team
Eintrag hinzugefügt am 30. Mai 2019
Kernel
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein entfernter Angreifer kann möglicherweise eine unerwartete Systembeendigung oder eine Beschädigung des Kernelspeichers verursachen
Beschreibung: Ein Pufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.
CVE-2019-8527: Ned Williamson von Google und derrek (@derrekr6)
Kernel
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) vom Qihoo 360 Vulcan Team
Eintrag hinzugefügt am 3. April 2019
Kernel
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine bösartige Anwendung kann möglicherweise das Kernel-Speicherlayout ermitteln
Beschreibung: Ein Problem bei der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8540: Weibo Wang (@ma1fan) vom Qihoo 360 Nirvan Team
Kernel
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine Anwendung kann möglicherweise erhöhte Berechtigungen erlangen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2019-8514: Samuel Groß von Google Project Zero
Kernel
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine bösartige Anwendung kann möglicherweise das Kernel-Speicherlayout ermitteln
Beschreibung: Es bestand ein Leseproblem außerhalb der Grenzen, das zur Offenlegung des Kernelspeichers führte. Dies wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2019-6207: Weibo Wang vom Qihoo 360 Nirvan Team (@ma1fan)
CVE-2019-8510: Stefan Esser von Antid0te UG
Kernel
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein lokaler Benutzer kann Kernel-Speicher lesen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-7293: Ned Williamson von Google
Medienbibliothek
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine bösartige Anwendung kann möglicherweise auf eingeschränkte Dateien zugreifen
Beschreibung: Ein Berechtigungsproblem wurde behoben, indem anfälliger Code entfernt und zusätzliche Überprüfungen hinzugefügt wurden.
CVE-2019-8532: Angel Ramirez, Min (Spark) Zheng und Xiaolong Bai von Alibaba Inc.
Eintrag hinzugefügt am 30. Mai 2019
Mitteilungen
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein lokaler Benutzer kann möglicherweise vertrauliche Benutzerinformationen anzeigen
Beschreibung: Ein Zugriffsproblem wurde mit zusätzlichen Sandbox-Einschränkungen behoben.
CVE-2019-8546: ChiYuan Chang
Passwort
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein teilweise eingegebener Passcode wird möglicherweise nicht gelöscht, wenn das Gerät in den Ruhezustand wechselt
Beschreibung: Es bestand ein Problem, bei dem teilweise eingegebene Passcodes möglicherweise nicht gelöscht wurden, wenn das Gerät in den Energiesparmodus wechselte. Dieses Problem wurde behoben, indem der Passcode gelöscht wurde, wenn ein gesperrtes Gerät in den Energiesparmodus wechselt.
CVE-2019-8548: Tobias Sachs
Energieverwaltung
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine bösartige Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Im MIG-generierten Code bestanden mehrere Eingabevalidierungsprobleme. Diese Probleme wurden durch eine verbesserte Validierung behoben.
CVE-2019-8549: Mohamed Ghannam (@_simo36) von SSD Secure Disclosure (ssd-disclosure.com)
Privatsphäre
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine bösartige App kann möglicherweise Benutzer zwischen Installationen verfolgen
Beschreibung: Bei der Kalibrierung des Bewegungssensors bestand ein Datenschutzproblem. Dieses Problem wurde durch eine verbesserte Bewegungssensorverarbeitung behoben.
CVE-2019-8541: Stan (Jiexin) Zhang und Alastair R. Beresford von der University of Cambridge, Ian Sheret von Polymath Insight Limited
Sandkasten
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Ein Sandbox-Prozess kann möglicherweise Sandbox-Einschränkungen umgehen
Beschreibung: Ein Logikproblem wurde mit verbesserten Einschränkungen behoben.
CVE-2019-8618: Brandon Azad
Eintrag hinzugefügt am 30. Mai 2019
Sicherheit
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Einem nicht vertrauenswürdigen Radiusserverzertifikat kann vertraut werden
Beschreibung: Im Trust Anchor Management bestand ein Validierungsproblem. Dieses Problem wurde durch eine verbesserte Validierung behoben.
CVE-2019-8531: ein anonymer Forscher, QA-Team von SecureW2
Eintrag hinzugefügt am 15. Mai 2019
Siri
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Eine bösartige Anwendung kann möglicherweise eine Diktieranforderung ohne Benutzerautorisierung initiieren
Beschreibung: Bei der Verarbeitung von Diktatanfragen bestand ein API-Problem. Dieses Problem wurde durch eine verbesserte Validierung behoben.
CVE-2019-8502: Luke Deshotels von der North Carolina State University, Jordan Beichler von der North Carolina State University, William Enck von der North Carolina State University, Costin Carabaș von der University POLITEHNICA in Bukarest und Răzvan Deaconescu von der University POLITEHNICA in Bukarest
TrueTypeScaler
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftart kann zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Lesevorgang außerhalb der Grenzen wurde durch eine verbesserte Überprüfung der Grenzen behoben.
CVE-2019-8517: riusksk von VulWar Corp in Zusammenarbeit mit der Trend Micro Zero Day Initiative
WebKit
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8536: Apple
CVE-2019-8544: ein anonymer Forscher
WebKit
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Typverwirrungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8506: Samuel Groß von Google Project Zero
WebKit
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherbeschädigungsprobleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8518: Samuel Groß von Google Project Zero
CVE-2019-8558: Samuel Groß von Google Project Zero
CVE-2019-8559: Apple
CVE-2019-8563: Apple
CVE-2019-8638: gefunden von OSS-Fuzz
CVE-2019-8639: gefunden von OSS-Fuzz
Eintrag aktualisiert am 30. Mai 2019
WebKit
Verfügbar für: Apple Watch Series 1 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Offenlegung von Prozessspeicher führen
Beschreibung: Ein Validierungsproblem wurde mit verbesserter Logik behoben.
CVE-2019-7292: Zhunki und Zhiyi Zhang vom 360 ESG Codesafe Team
Zusätzliche Anerkennung
Konten
Wir danken Milan Stute vom Secure Mobile Networking Lab der Technischen Universität Darmstadt für seine Unterstützung.
Eintrag hinzugefügt am 30. Mai 2019
Kernel
Wir möchten Brandon Azad von Google Project Zero, Brandon Azad, Raz Mashat (@RazMashat) von der Ilan Ramon High School für ihre Unterstützung danken.
Eintrag aktualisiert am 30. Mai 2019
Informationen über Produkte, die nicht von Apple hergestellt wurden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet wurden, werden ohne Empfehlung oder Billigung bereitgestellt. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Websites oder Produkten von Drittanbietern. Apple macht keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit von Websites Dritter. Wenden Sie sich für weitere Informationen an den Anbieter .
No comments:
Post a Comment