- Über den Sicherheitsinhalt von watchOS 8.6
Dieses Dokument beschreibt die Sicherheitsinhalte von watchOS 8.6.
Zum Schutz unserer Kunden veröffentlicht, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung stattgefunden hat und Patches oder Versionen verfügbar sind. Die neuesten Versionen sind auf der Seite Apple Sicherheitsupdates aufgeführt.
In den Sicherheitsdokumenten von Apple werden die Schwachstellen, wenn möglich, mit der CVE-ID angegeben.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Sicherheit von Apple-Produkten.
Freigegeben 16. Mai 2022
AppleAVD
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-26702: ein anonymer Forscher
AppleAVD
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein Programm kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen. Apple ist ein Bericht bekannt, wonach dieses Problem aktiv ausgenutzt worden sein könnte.
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.
CVE-2022-22675: ein anonymer Forscher
DriverKit
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine böswillige Anwendung kann möglicherweise beliebigen Code mit Systemprivilegien ausführen
Beschreibung: Ein Out-of-Bounds-Zugriffs-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.
CVE-2022-26763: Linus Henze von Pinauten GmbH (pinauten.de)
ImageIO
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein entfernter Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von beliebigem Code verursachen
Beschreibung: Ein Integer-Überlauf wurde mit verbesserter Eingabevalidierung behoben.
CVE-2022-26711: actae0n des Blacksun Hackers Club in Zusammenarbeit mit der Trend Micro Zero Day Initiative
IOMobileFrameBuffer
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherkorruptionsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2022-26768: ein anonymer Forscher
IOSurfaceAccelerator
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherkorruptionsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2022-26771: ein anonymer Forscher
Kernel
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit den Rechten des Kernels ausführen
Beschreibung: Ein Speicherkorruptionsproblem wurde mit verbesserter Validierung behoben.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) von STAR Labs (@starlabs_sg)
Kernel
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit den Rechten des Kernels ausführen
Beschreibung: Ein Use After Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-26757: Ned Williamson von Google Project Zero
Kernel
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein Angreifer, der bereits die Ausführung von Kernel-Code erreicht hat, könnte in der Lage sein, Kernel-Speicherabschwächungen zu umgehen
Beschreibung: Ein Speicherkorruptionsproblem wurde mit verbesserter Validierung behoben.
CVE-2022-26764: Linus Henze von Pinauten GmbH (pinauten.de)
Kernel
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein böswilliger Angreifer mit beliebigen Lese- und Schreibrechten kann möglicherweise die Pointer-Authentifizierung umgehen
Beschreibung: Eine Wettlaufsituation wurde mit verbesserter Statusbehandlung adressiert.
CVE-2022-26765: Linus Henze von Pinauten GmbH (pinauten.de)
LaunchServices
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein Prozess, der in einer Sandbox läuft, kann möglicherweise die Beschränkungen der Sandbox umgehen
Beschreibung: Ein Zugriffsproblem wurde mit zusätzlichen Sandbox-Beschränkungen für Anwendungen von Drittanbietern behoben.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or von Microsoft
Eintrag aktualisiert am 6. Juli 2022
libresolv
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von beliebigem Code verursachen
Beschreibung: Ein Integer-Überlauf wurde mit verbesserter Eingabevalidierung behoben.
CVE-2022-26775: Max Shavrick (@_mxms) vom Google-Sicherheitsteam
Eintrag hinzugefügt Juni 21, 2022
libresolv
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von beliebigem Code verursachen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-26708: Max Shavrick (@_mxms) vom Google-Sicherheitsteam
Eintrag hinzugefügt Juni 21, 2022
libresolv
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein entfernter Benutzer kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32790: Max Shavrick (@_mxms) vom Google-Sicherheitsteam
Eintrag hinzugefügt Juni 21, 2022
libresolv
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von beliebigem Code verursachen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-26776: Max Shavrick (@_mxms) vom Google Security Team, Zubair Ashraf von Crowdstrike
Eintrag hinzugefügt Juni 21, 2022
libxml2
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein entfernter Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von beliebigem Code verursachen
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-23308
Sicherheit
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Eine bösartige Anwendung kann die Signaturvalidierung umgehen
Beschreibung: Ein Problem beim Parsen von Zertifikaten wurde durch verbesserte Prüfungen behoben.
CVE-2022-26766: Linus Henze von Pinauten GmbH (pinauten.de)
TCC
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine App kann möglicherweise den Bildschirm eines Benutzers erfassen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-26726: ein anonymer Forscher
WebKit
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung böswillig gestalteter Web-Inhalte kann zur Codeausführung führen
Beschreibung: Ein Problem der Speicherbeschädigung wurde durch eine verbesserte Zustandsverwaltung behoben.
WebKit Bugzilla: 238178 CVE-2022-26700: ryuzaki
WebKit
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 236950 CVE-2022-26709: Chijin Zhou von ShuiMuYuLin Ltd und Tsinghua Wingtecher Lab
WebKit Bugzilla: 237475 CVE-2022-26710: Chijin Zhou von ShuiMuYuLin Ltd und Tsinghua wingtecher lab
WebKit Bugzilla: 238171 CVE-2022-26717: Jeonghoon Shin von Theori
WebKit
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Web-Inhalten kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Speicherkorruptionsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
WebKit Bugzilla: 238183 CVE-2022-26716: SorryMybad (@S0rryMybad) von Kunlun Lab
WebKit Bugzilla: 238699 CVE-2022-26719: Dongzhuo Zhao arbeitet mit ADLab von Venustech
Wi-Fi
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann eingeschränkten Speicher offenlegen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2022-26745: Scarlet Raine
Eintrag hinzugefügt Juli 6, 2022
Wi-Fi
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Eine bösartige Anwendung kann eingeschränkten Speicher offenlegen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2022-26745: ein anonymer Forscher
AppleMobileFileIntegrity
Wir möchten uns bei Wojciech Reguła (@_r3ggi) von SecuRing für seine Unterstützung bedanken.
WebKit
Wir möchten uns bei James Lee und einem anonymen Forscher für ihre Unterstützung bedanken.
Eintrag aktualisiert am 25. Mai 2022
Informationen über Produkte, die nicht von Apple hergestellt werden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet werden, werden ohne Empfehlung oder Befürwortung bereitgestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Verwendung von Websites oder Produkten Dritter. Apple gibt keine Zusicherungen hinsichtlich der Genauigkeit oder Zuverlässigkeit von Websites Dritter ab. Wenden Sie sich für weitere Informationen an den jeweiligen Anbieter.
Veröffentlichungsdatum: Juli 06, 2022
Über Apple Sicherheitsupdates
Zum Schutz unserer Kunden veröffentlicht, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung stattgefunden hat und Patches oder Versionen verfügbar sind. Die neuesten Versionen sind auf der Seite Apple Sicherheitsupdates aufgeführt.
In den Sicherheitsdokumenten von Apple werden die Schwachstellen, wenn möglich, mit der CVE-ID angegeben.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Sicherheit von Apple-Produkten.
watchOS 8.6
Freigegeben 16. Mai 2022
AppleAVD
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-26702: ein anonymer Forscher
AppleAVD
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein Programm kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen. Apple ist ein Bericht bekannt, wonach dieses Problem aktiv ausgenutzt worden sein könnte.
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.
CVE-2022-22675: ein anonymer Forscher
DriverKit
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine böswillige Anwendung kann möglicherweise beliebigen Code mit Systemprivilegien ausführen
Beschreibung: Ein Out-of-Bounds-Zugriffs-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.
CVE-2022-26763: Linus Henze von Pinauten GmbH (pinauten.de)
ImageIO
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein entfernter Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von beliebigem Code verursachen
Beschreibung: Ein Integer-Überlauf wurde mit verbesserter Eingabevalidierung behoben.
CVE-2022-26711: actae0n des Blacksun Hackers Club in Zusammenarbeit mit der Trend Micro Zero Day Initiative
IOMobileFrameBuffer
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherkorruptionsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2022-26768: ein anonymer Forscher
IOSurfaceAccelerator
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherkorruptionsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2022-26771: ein anonymer Forscher
Kernel
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit den Rechten des Kernels ausführen
Beschreibung: Ein Speicherkorruptionsproblem wurde mit verbesserter Validierung behoben.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) von STAR Labs (@starlabs_sg)
Kernel
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit den Rechten des Kernels ausführen
Beschreibung: Ein Use After Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-26757: Ned Williamson von Google Project Zero
Kernel
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein Angreifer, der bereits die Ausführung von Kernel-Code erreicht hat, könnte in der Lage sein, Kernel-Speicherabschwächungen zu umgehen
Beschreibung: Ein Speicherkorruptionsproblem wurde mit verbesserter Validierung behoben.
CVE-2022-26764: Linus Henze von Pinauten GmbH (pinauten.de)
Kernel
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein böswilliger Angreifer mit beliebigen Lese- und Schreibrechten kann möglicherweise die Pointer-Authentifizierung umgehen
Beschreibung: Eine Wettlaufsituation wurde mit verbesserter Statusbehandlung adressiert.
CVE-2022-26765: Linus Henze von Pinauten GmbH (pinauten.de)
LaunchServices
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein Prozess, der in einer Sandbox läuft, kann möglicherweise die Beschränkungen der Sandbox umgehen
Beschreibung: Ein Zugriffsproblem wurde mit zusätzlichen Sandbox-Beschränkungen für Anwendungen von Drittanbietern behoben.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or von Microsoft
Eintrag aktualisiert am 6. Juli 2022
libresolv
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von beliebigem Code verursachen
Beschreibung: Ein Integer-Überlauf wurde mit verbesserter Eingabevalidierung behoben.
CVE-2022-26775: Max Shavrick (@_mxms) vom Google-Sicherheitsteam
Eintrag hinzugefügt Juni 21, 2022
libresolv
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von beliebigem Code verursachen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-26708: Max Shavrick (@_mxms) vom Google-Sicherheitsteam
Eintrag hinzugefügt Juni 21, 2022
libresolv
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein entfernter Benutzer kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32790: Max Shavrick (@_mxms) vom Google-Sicherheitsteam
Eintrag hinzugefügt Juni 21, 2022
libresolv
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von beliebigem Code verursachen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-26776: Max Shavrick (@_mxms) vom Google Security Team, Zubair Ashraf von Crowdstrike
Eintrag hinzugefügt Juni 21, 2022
libxml2
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein entfernter Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von beliebigem Code verursachen
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-23308
Sicherheit
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Eine bösartige Anwendung kann die Signaturvalidierung umgehen
Beschreibung: Ein Problem beim Parsen von Zertifikaten wurde durch verbesserte Prüfungen behoben.
CVE-2022-26766: Linus Henze von Pinauten GmbH (pinauten.de)
TCC
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine App kann möglicherweise den Bildschirm eines Benutzers erfassen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-26726: ein anonymer Forscher
WebKit
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung böswillig gestalteter Web-Inhalte kann zur Codeausführung führen
Beschreibung: Ein Problem der Speicherbeschädigung wurde durch eine verbesserte Zustandsverwaltung behoben.
WebKit Bugzilla: 238178 CVE-2022-26700: ryuzaki
WebKit
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 236950 CVE-2022-26709: Chijin Zhou von ShuiMuYuLin Ltd und Tsinghua Wingtecher Lab
WebKit Bugzilla: 237475 CVE-2022-26710: Chijin Zhou von ShuiMuYuLin Ltd und Tsinghua wingtecher lab
WebKit Bugzilla: 238171 CVE-2022-26717: Jeonghoon Shin von Theori
WebKit
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Web-Inhalten kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Speicherkorruptionsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
WebKit Bugzilla: 238183 CVE-2022-26716: SorryMybad (@S0rryMybad) von Kunlun Lab
WebKit Bugzilla: 238699 CVE-2022-26719: Dongzhuo Zhao arbeitet mit ADLab von Venustech
Wi-Fi
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann eingeschränkten Speicher offenlegen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2022-26745: Scarlet Raine
Eintrag hinzugefügt Juli 6, 2022
Wi-Fi
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Eine bösartige Anwendung kann eingeschränkten Speicher offenlegen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2022-26745: ein anonymer Forscher
Zusätzliche Erkennung
AppleMobileFileIntegrity
Wir möchten uns bei Wojciech Reguła (@_r3ggi) von SecuRing für seine Unterstützung bedanken.
WebKit
Wir möchten uns bei James Lee und einem anonymen Forscher für ihre Unterstützung bedanken.
Eintrag aktualisiert am 25. Mai 2022
Informationen über Produkte, die nicht von Apple hergestellt werden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet werden, werden ohne Empfehlung oder Befürwortung bereitgestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Verwendung von Websites oder Produkten Dritter. Apple gibt keine Zusicherungen hinsichtlich der Genauigkeit oder Zuverlässigkeit von Websites Dritter ab. Wenden Sie sich für weitere Informationen an den jeweiligen Anbieter.
Veröffentlichungsdatum: Juli 06, 2022