watchOS 9.2'nin güvenlik içeriği hakkında

Bu belgede watchOS 9.2'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

watchOS 9.2

Accessibility

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kilitli Apple Watch'a fiziksel erişimi olan bir kullanıcı, erişilebilirlik özellikleri aracılığıyla kullanıcı fotoğraflarını görüntüleyebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-46717: Zhuhai No.1 Ortaokulu'ndan (珠海市第一中学) Zitong Wu (吴梓桐)

Accounts

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir kullanıcı hassas kullanıcı bilgilerini görüntüleyebilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2022-42843: Mickey Jin (@patch1t)

AppleAVD

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir video dosyasının ayrıştırılması çekirdek kodunun yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2022-46694: Andrey Labunets ve Nikita Tarakanov

AppleMobileFileIntegrity

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Güçlendirilmiş çalıştırma özelliği etkinleştirilerek bu sorun giderildi.

CVE-2022-42865: SecuRing'den Wojciech Reguła (@_r3ggi)

CoreServices

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Savunmasız kod kaldırılarak birden fazla sorun giderildi.

CVE-2022-42859: Mickey Jin (@patch1t), Offensive Security'den Csaba Fitzl (@theevilbit)

ImageIO

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2022-46693: Mickey Jin (@patch1t)

IOHIDFamily

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2022-42864: Tommy Muir (@Muirey03)

IOMobileFrameBuffer

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2022-46690: John Aakerblom (@jaakerblom)

iTunes Store

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Uzaktaki bir kullanıcı uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: URL'lerin ayrıştırılmasında sorun vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2022-42837: Anonim bir araştırmacı

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek çift serbest bırakma sorunu giderildi.

CVE-2022-43454: ASU SEFCOM'dan Adam Doupé

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2022-46689: Google Project Zero'dan Ian Beer

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Uzaktaki bir kullanıcı çekirdek kodunun yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-42842: Ant Security Light-Year Lab'den pattern-f (@pattern_F_)

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kök ayrıcalıklarına sahip bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-42845: ASU SEFCOM'dan Adam Doupé

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Rastgele kod okuyup yazabilen bir saldırgan, İmleç Kimlik Doğrulaması'nı atlayabilir. Apple, iOS 15.7.1'den önceki iOS sürümlerinde bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2022-48618: Apple

libxml2

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Uzaktaki bir kullanıcı uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2022-40303: Google Project Zero'dan Maddie Stone

libxml2

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Uzaktaki bir kullanıcı uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-40304: Google Project Zero'dan Ned Williamson ve Nathan Wachholz

Maps

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2022-48610: Adam M.

Preferences

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama rastgele yetkiler kullanabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-42855: Google Project Zero'dan Ivan Fratric

Safari

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlı içerikler barındıran bir web sitesinin ziyaret edilmesi, kullanıcı arabirimi sahteciliğine (UI spoofing) neden olabilir

Açıklama: URL'lerin işlenmesinde adres sahteciliği sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2022-46695: KirtiKumar Anandrao Ramchandani

Software Update

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir kullanıcı ayrıcalıkları yükseltebilir

Açıklama: Ayrıcalıklı API çağrılarında bir erişim sorunu vardı. Ek sınırlamalarla bu sorun giderildi.

CVE-2022-42849: Mickey Jin (@patch1t)

Weather

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-46703: SecuRing'den Wojciech Reguła (@_r3ggi) ve Adam M.

Weather

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-42866: Adam M.

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir

Açıklama: URL'lerin işlenmesinde adres sahteciliği sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2022-46705: Team ApplePIE'dan Hyeon Park (@tree_segment)

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2022-42867: Google Project Zero'dan Maddie Stone

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2022-46691: Anonim bir araştırmacı

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi Aynı Kaynak Politikası'nın atlanmasına neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-46692: KirtiKumar Anandrao Ramchandani

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-42852: hazbinhotel (Trend Micro'nun Zero Day Initiative programıyla)

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-46696: Google V8 Security'den Samuel Groß

CVE-2022-46700: Google V8 Security'den Samuel Groß

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, hassas kullanıcı bilgilerini açığa çıkarabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-46698: SSD Secure Disclosure Labs ve Kore Üniversitesi DNSLab'den Dohyun Lee (@l33d0hyun)

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2022-46699: Google V8 Security'den Samuel Groß

CVE-2022-42863: Anonim bir araştırmacı

Ek teşekkür listesi

Kernel

Kunlun Lab'den Zweig'a yardımı için teşekkür ederiz.

Safari Extensions

1Password'den Oliver Dunk ve Christian R.'ye yardımları için teşekkür ederiz.

WebKit

Anonim bir araştırmacıya ve scarlet'a yardımları için teşekkür ederiz.