Über den Sicherheitsinhalt von watchOS 4
Dieses Dokument beschreibt den Sicherheitsinhalt von watchOS 4.
Über Apple-Sicherheitsupdates
Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Versionen verfügbar sind. Aktuelle Versionen sind auf der Apple-Seite für Sicherheitsupdates aufgeführt.
Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit . Sie können die Kommunikation mit Apple mit dem Apple Product Security PGP Key verschlüsseln.
Apple-Sicherheitsdokumente verweisen wenn möglich auf Schwachstellen per CVE-ID .
watchOS 4
Veröffentlicht am 19. September 2017
802.1X
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein Angreifer kann Schwachstellen in TLS 1.0 ausnutzen
Beschreibung: Ein Problem mit der Protokollsicherheit wurde durch Aktivieren von TLS 1.1 und TLS 1.2 behoben.
CVE-2017-13832: Doug Wussler von der Florida State University
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 10. November 2017
CFNetzwerk
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13829: Niklas Baumstark und Samuel Gro arbeiten mit der Zero Day Initiative von Trend Micro zusammen
CVE-2017-13833: Niklas Baumstark und Samuel Gro arbeiten mit der Zero Day Initiative von Trend Micro zusammen
Eintrag hinzugefügt am 10. November 2017
CFNetwork-Proxys
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein Angreifer in einer privilegierten Position im Netzwerk kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7083: Abhinav Bansal von Zscaler Inc.
Eintrag hinzugefügt am 25. September 2017
CFString
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen
Beschreibung: Ein Validierungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-13821: Australian Cyber Security Center – Australian Signals Directorate
Eintrag hinzugefügt am 31. Oktober 2017
CoreAudio
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen
Beschreibung: Ein Lesezugriff außerhalb der Grenzen wurde durch die Aktualisierung auf Opus Version 1.1.4 behoben.
CVE-2017-0381: VEO (@VYSEa) vom Mobile Threat Research Team, Trend Micro
Eintrag hinzugefügt am 25. September 2017
CoreText
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftartdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherverbrauchsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13825: Australian Cyber Security Center – Australian Signals Directorate
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 16. November 2018
Datei
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Mehrere Probleme in der Datei
Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 5.31 behoben.
CVE-2017-13815: gefunden von OSS-Fuzz
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 18. Oktober 2018
Schriftarten
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Das Rendern von nicht vertrauenswürdigem Text kann zu Spoofing führen
Beschreibung: Ein Problem mit einer inkonsistenten Benutzeroberfläche wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2017-13828: Leonard Gray und Robert Sesek von Google Chrome
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 10. November 2017
HFS
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13830: Sergej Schumilo von der Ruhr-Universität Bochum
Eintrag hinzugefügt am 31. Oktober 2017
ImageIO
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2017-13814: Australian Cyber Security Center – Australian Signals Directorate
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 16. November 2018
ImageIO
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zu einem Denial-of-Service führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2017-13831: Glen Carmichael
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 3. April 2019
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein lokaler Benutzer kann Kernel-Speicher lesen
Beschreibung: Es bestand ein Leseproblem außerhalb der Grenzen, das zur Offenlegung des Kernelspeichers führte. Dies wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2017-13817: Maxime Villard (m00nbsd)
Eintrag hinzugefügt am 31. Oktober 2017
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen
Beschreibung: Ein Validierungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-13818: Das britische National Cyber Security Centre (NCSC)
CVE-2017-13836: Vlad Zyrklevich
CVE-2017-13841: Vlad Zyrklevich
CVE-2017-13840: Vlad Zyrklevich
CVE-2017-13842: Vlad Zyrklevich
CVE-2017-13782: ein anonymer Forscher
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 18. Juni 2018
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13843: ein anonymer Forscher, ein anonymer Forscher
Eintrag hinzugefügt am 31. Oktober 2017
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7114: Alex Plaskett von MWR InfoSecurity
Eintrag hinzugefügt am 25. September 2017
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13854: shrek_wzw vom Qihoo 360 Nirvan Team
Eintrag hinzugefügt am 2. November 2017
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung einer fehlerhaften Mach-Binärdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Validierung behoben.
CVE-2017-13834: Maxime Villard (m00nbsd)
Eintrag hinzugefügt am 10. November 2017
Kernel
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Eine bösartige Anwendung kann möglicherweise Informationen über das Vorhandensein und den Betrieb anderer Anwendungen auf dem Gerät erhalten.
Beschreibung: Eine Anwendung konnte uneingeschränkt auf vom Betriebssystem verwaltete Netzwerkaktivitätsinformationen zugreifen. Dieses Problem wurde behoben, indem die für Anwendungen von Drittanbietern verfügbaren Informationen reduziert wurden.
CVE-2017-13873: Xiaokuan Zhang und Yinqian Zhang von der Ohio State University, Xueqiang Wang und XiaoFeng Wang von der Indiana University Bloomington und Xiaolong Bai von der Tsinghua University
Eintrag hinzugefügt am 30. November 2017
Bibliothek
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Pufferüberlaufproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13813: gefunden von OSS-Fuzz
CVE-2017-13816: gefunden von OSS-Fuzz
Eintrag hinzugefügt am 31. Oktober 2017
Bibliothek
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen
Beschreibung: In libarchive bestanden mehrere Speicherbeschädigungsprobleme. Diese Probleme wurden durch eine verbesserte Eingabevalidierung behoben.
CVE-2017-13812: gefunden von OSS-Fuzz
Eintrag hinzugefügt am 31. Oktober 2017
libc
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Ein entfernter Angreifer kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Ein Problem der Ressourcenerschöpfung in glob() wurde durch einen verbesserten Algorithmus behoben.
CVE-2017-7086: Russ Cox von Google
Eintrag hinzugefügt am 25. September 2017
libc
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Eine Anwendung kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Ein Speicherverbrauchsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-1000373
Eintrag hinzugefügt am 25. September 2017
libexpat
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Mehrere Probleme in expat
Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 2.2.1 behoben
CVE-2016-9063
CVE-2017-9233
Eintrag hinzugefügt am 25. September 2017
libxml2
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung von in böser Absicht erstelltem XML kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-9049: Wei Lei und Liu Yang – Nanyang Technological University in Singapur
Eintrag hinzugefügt am 18. Oktober 2018
libxml2
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung von in böser Absicht erstelltem XML kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Pufferüberlaufproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7376: ein anonymer Forscher
CVE-2017-5130: ein anonymer Forscher
Eintrag hinzugefügt am 18. Oktober 2018
libxml2
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung von in böser Absicht erstelltem XML kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2017-9050: Mateusz Jurczyk (j00ru) von Google Project Zero
Eintrag hinzugefügt am 18. Oktober 2018
libxml2
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Die Verarbeitung von in böser Absicht erstelltem XML kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen
Beschreibung: Eine Nullzeiger-Dereferenzierung wurde mit verbesserter Validierung behoben.
CVE-2018-4302: Gustavo Grieco
Eintrag hinzugefügt am 18. Oktober 2018
Sicherheit
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Einem widerrufenen Zertifikat kann vertraut werden
Beschreibung: Bei der Verarbeitung von Sperrdaten bestand ein Problem mit der Zertifikatvalidierung. Dieses Problem wurde durch eine verbesserte Validierung behoben.
CVE-2017-7080: ein anonymer Forscher, Sven Driemecker von adesso mobile solutions gmbh, ein anonymer Forscher, Rune Darrud (@theflyingcorpse) von Bærum kommune
Eintrag hinzugefügt am 25. September 2017
SQLite
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Mehrere Probleme in SQLite
Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 3.19.3 behoben.
CVE-2017-10989: gefunden von OSS-Fuzz
CVE-2017-7128: gefunden von OSS-Fuzz
CVE-2017-7129: gefunden von OSS-Fuzz
CVE-2017-7130: gefunden von OSS-Fuzz
Eintrag hinzugefügt am 25. September 2017
SQLite
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7127: ein anonymer Forscher
Eintrag hinzugefügt am 25. September 2017
W-lan
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Bösartiger Code, der auf dem Wi-Fi-Chip ausgeführt wird, kann beliebigen Code mit Kernel-Privilegien auf dem Anwendungsprozessor ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7103: Gal Beniamini von Google Project Zero
CVE-2017-7105: Gal Beniamini von Google Project Zero
CVE-2017-7108: Gal Beniamini von Google Project Zero
CVE-2017-7110: Gal Beniamini von Google Project Zero
CVE-2017-7112: Gal Beniamini von Google Project Zero
W-lan
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Bösartiger Code, der auf dem Wi-Fi-Chip ausgeführt wird, kann eingeschränkten Kernel-Speicher lesen
Beschreibung: Ein Validierungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-7116: Gal Beniamini von Google Project Zero
zlib
Verfügbar für: Alle Apple Watch-Modelle
Auswirkung: Mehrere Probleme in zlib
Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 1.2.11 behoben.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Eintrag hinzugefügt am 25. September 2017
Zusätzliche Anerkennung
Sicherheit
Wir danken Abhinav Bansal von Zscaler, Inc. für seine Unterstützung.
Informationen über Produkte, die nicht von Apple hergestellt wurden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet wurden, werden ohne Empfehlung oder Billigung bereitgestellt. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Websites oder Produkten von Drittanbietern. Apple macht keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit von Websites Dritter. Wenden Sie sich an den Anbieter , um weitere Informationen zu erhalten.
No comments:
Post a Comment