Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.
watchOS 9
Veröffentlicht am 12. September 2022
Accelerate Framework
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42795: ryuzaki
AppleAVD
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32907: Natalie Silvanovich von Google Project Zero, Antonio Zekic (@antoniozekic) und John Aakerblom (@jaakerblom), ABC Research Ltd., Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Apple Neural Engine
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status preisgeben.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Contacts
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32854: Holger Fuhrmannek von Deutsche Telekom Security
Exchange
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Ein Benutzer in einer privilegierten Netzwerkposition kann möglicherweise E-Mail-Anmeldedaten abfangen
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) von Check Point Research
Eintrag am 8. Juni 2023 aktualisiert
GPU Drivers
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32903: ein anonymer Forscher
ImageIO
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2022-1622
Image Processing
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App in einer Sandbox kann unter Umständen ermitteln, welche App die Kamera nutzt.
Beschreibung: Dieses Problem wurde durch zusätzliche Einschränkungen für die Beobachtbarkeit des App-Status behoben.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32864: Linus Henze von der Pinauten GmbH (pinauten.de)
Kernel
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32866: Linus Henze von der Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig von Kunlun Lab
Kernel
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32914: Zweig von Kunlun Lab
Kernel
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32894: ein anonymer Forscher
Maps
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2022-32883: Ron Masas von breakpointhq.com
MediaLibrary
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Ein Nutzer kann die Rechte erhöhen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-32908: ein anonymer Forscher
Notifications
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Ein Benutzer mit physischem Zugang zu einem Gerät kann unter Umständen vom Sperrbildschirm aus auf Kontakte zugreifen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2022-32881: Csaba Fitzl (@theevilbit) von Offensive Security
Siri
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Ein Benutzer mit physischem Zugang zu einem Gerät kann sich mit Siri unter Umständen Informationen zum Anrufverlauf beschaffen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32870: Andrew Goldberg von The McCombs School of Business, The University of Texas at Austin (linkedin.com/in/andrew-goldberg-/)
SQLite
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-36690
Watch app
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise eine persistente Geräte-ID lesen.
Beschreibung: Dieses Problem wurde durch verbesserte Berechtigungen behoben.
CVE-2022-32835: Guilherme Rambo von Best Buddy Apps (rambo.codes)
Weather
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32875: ein anonymer Forscher
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) bei Theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.
Beschreibung: Das Problem wurde durch verbesserte UI-Verwaltung behoben.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, ein anonymer Forscher
WebKit
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung eines willkürlichen Codes führen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
WebKit Bugzilla: 243557
CVE-2022-32893: ein anonymer Forscher
Wi-Fi
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-46709: Wang Yu von Cyberserval
Eintrag am 8. Juni 2023 hinzugefügt
Wi-Fi
Verfügbar für: Apple Watch Series 4 und neuer
Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32925: Wang Yu von Cyberserval
Zusätzliche Danksagung
AppleCredentialManager
Wir möchten uns bei @jonathandata1 für die Unterstützung bedanken.
FaceTime
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.
Kernel
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.
Safari
Wir möchten uns bei Scott Hatfield von Sub-Zero Group für die Unterstützung bedanken.
Eintrag am 8. Juni 2023 hinzugefügt
Sandbox
Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security für die Unterstützung bedanken.
UIKit
Wir möchten uns bei Aleczander Ewing für die Unterstützung bedanken.
WebKit
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.
WebRTC
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.