Über die Sicherheitsinhalte von watchOS 9

In diesem Dokument werden die Sicherheitsinhalte von watchOS 9 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

watchOS 9

Veröffentlicht am 12. September 2022

Accelerate Framework

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42795: ryuzaki

AppleAVD

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32907: Natalie Silvanovich von Google Project Zero, Antonio Zekic (@antoniozekic) und John Aakerblom (@jaakerblom), ABC Research Ltd., Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Apple Neural Engine

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status preisgeben.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Contacts

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32854: Holger Fuhrmannek von Deutsche Telekom Security

Exchange

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Ein Benutzer in einer privilegierten Netzwerkposition kann möglicherweise E-Mail-Anmeldedaten abfangen

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) von Check Point Research

Eintrag am 8. Juni 2023 aktualisiert

GPU Drivers

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32903: ein anonymer Forscher

ImageIO

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-1622

Image Processing

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App in einer Sandbox kann unter Umständen ermitteln, welche App die Kamera nutzt.

Beschreibung: Dieses Problem wurde durch zusätzliche Einschränkungen für die Beobachtbarkeit des App-Status behoben.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32864: Linus Henze von der Pinauten GmbH (pinauten.de)

Kernel

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32866: Linus Henze von der Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig von Kunlun Lab

Kernel

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32914: Zweig von Kunlun Lab

Kernel

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32894: ein anonymer Forscher

Maps

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2022-32883: Ron Masas von breakpointhq.com

MediaLibrary

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Ein Nutzer kann die Rechte erhöhen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-32908: ein anonymer Forscher

Notifications

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Ein Benutzer mit physischem Zugang zu einem Gerät kann unter Umständen vom Sperrbildschirm aus auf Kontakte zugreifen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32879: Ubeydullah Sümer

Sandbox

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2022-32881: Csaba Fitzl (@theevilbit) von Offensive Security

Siri

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Ein Benutzer mit physischem Zugang zu einem Gerät kann sich mit Siri unter Umständen Informationen zum Anrufverlauf beschaffen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32870: Andrew Goldberg von The McCombs School of Business, The University of Texas at Austin (linkedin.com/in/andrew-goldberg-/)

SQLite

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-36690

Watch app

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise eine persistente Geräte-ID lesen.

Beschreibung: Dieses Problem wurde durch verbesserte Berechtigungen behoben.

CVE-2022-32835: Guilherme Rambo von Best Buddy Apps (rambo.codes)

Weather

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32875: ein anonymer Forscher

WebKit

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) bei Theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.

Beschreibung: Das Problem wurde durch verbesserte UI-Verwaltung behoben.

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, ein anonymer Forscher

WebKit

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung eines willkürlichen Codes führen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

WebKit Bugzilla: 243557
CVE-2022-32893: ein anonymer Forscher

Wi-Fi

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-46709: Wang Yu von Cyberserval

Eintrag am 8. Juni 2023 hinzugefügt

Wi-Fi

Verfügbar für: Apple Watch Series 4 und neuer

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32925: Wang Yu von Cyberserval

Zusätzliche Danksagung

AppleCredentialManager

Wir möchten uns bei @jonathandata1 für die Unterstützung bedanken.

FaceTime

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Kernel

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Mail

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Safari

Wir möchten uns bei Scott Hatfield von Sub-Zero Group für die Unterstützung bedanken.

Eintrag am 8. Juni 2023 hinzugefügt

Sandbox

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security für die Unterstützung bedanken.

UIKit

Wir möchten uns bei Aleczander Ewing für die Unterstützung bedanken.

WebKit

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

WebRTC

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

 

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: