watchOS 9.4'ün güvenlik içeriği hakkında

Bu belgede watchOS 9.4'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

watchOS 9.4

AppleMobileFileIntegrity

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir kullanıcı, dosya sisteminin korumalı bölümlerine erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-23527: Mickey Jin (@patch1t)

Calendar

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir takvim davetini içe aktarmak kullanıcı bilgilerini sızdırabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek birden fazla doğrulama sorunu giderildi.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Camera

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Korumalı alandaki bir uygulama, o anda kamerayı hangi uygulamanın kullandığını belirleyebilir

Açıklama: Uygulama durumlarının gözlemlenebilirliğine ek sınırlamalar getirilerek sorun giderildi.

CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreCapture

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-28181: Tsinghua Üniversitesi'nden Tingting Yin

Find My

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-23537: Adam M.

CVE-2023-28195: Adam M.

FontParser

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-27956: Baidu Security'den Ye Zhang

Foundation

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir plist dosyasının ayrıştırılması, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2023-27937: anonim bir araştırmacı

Identity Services

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, kullanıcıların kişileriyle ilgili bilgilere erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-27928: Offensive Security'den Csaba Fitzl (@theevilbit)

ImageIO

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-23535: ryuzaki

ImageIO

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-27929: Mbition Mercedes-Benz Innovation Lab'den Meysam Firouzi (@R00tkitSMM) ve jzhu (Trend Micro'nun Zero Day Initiative programıyla)

ImageIO

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir görüntünün işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-42862: Meysam Firouzi @R00tkitSMM

CVE-2023-42865: Trend Micro Zero Day Initiative ile birlikte çalışan jzhu ve Mbition Mercedes-Benz Innovation Lab'den Meysam Firouzi (@R00tkitSMM)

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-23536: Félix Poulin-Bélanger ve David Pan Ogea

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-27969: ASU SEFCOM'dan Adam Doupé

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kök ayrıcalıklarına sahip bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-27933: sqrtpwn

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2023-28185: STAR Labs SG Pte. Ltd. şirketinden Pan ZhenPeng (@Peterpan0927)

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği önlemlerini atlayabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32424: Zhejiang Üniversitesinden Zechao Cai (@Zech4o)

Podcasts

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-27942: Mickey Jin (@patch1t)

Sandbox

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

Shortcuts

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir kestirme, belirli eylemler gerçekleştirilirken kullanıcıya sormadan hassas verileri kullanabilir

Açıklama: Ek izin denetimleriyle bu sorun giderildi.

CVE-2023-27963: TRS Group Of Companies'den Jubaer Alnazi Jabin ile Alibaba Group'tan Wenchao Li ve Xiaolong Bai

TCC

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2023-27931: Mickey Jin (@patch1t)

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, Aynı Kaynak Politikası'nın atlanmasına neden olabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2023-27932: anonim bir araştırmacı

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir web sitesi hassas kullanıcı bilgilerini izleyebilir

Açıklama: Kaynak bilgileri kaldırılarak bu sorun giderildi.

CVE-2023-27954: anonim bir araştırmacı

Ek teşekkür listesi

Activation Lock

Christian Mina'ya yardımı için teşekkür ederiz.

CFNetwork

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

CoreServices

Yardımları için Mickey Jin'e (@patch1t) teşekkür ederiz.

ImageIO

Meysam Firouzi'ye (@R00tkitSMM) yardımı için teşekkür ederiz.

Mail

Chen Zhang'e, FH Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Fabian Ising'e, FH Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Damian Poddebniak'a, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Tobias Kappert'a, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Christoph Saatjohann'a, Sebast'a ve CISPA Helmholtz Center for Information Security'den Merlin Chlosta'ya yardımları için teşekkür ederiz.

Safari Downloads

Andrew Gonzalez'e yardımı için teşekkür ederiz.

WebKit

Anonim bir araştırmacıya yardımı için teşekkür ederiz.