watchOS 6.2'nin güvenlik içeriği hakkında

Bu belgede watchOS 6.2'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

watchOS 6.2

Hesaplar

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9772: UC Berkeley'den Allison Husain

ActionKit

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama, özel çerçeveler tarafından sağlanan bir SSH istemcisini kullanabilir

Açıklama: Yeni bir yetki ile bu sorun giderildi.

CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)

AppleMobileFileIntegrity

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama rastgele yetkiler kullanabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-3883: Linus Henze (pinauten.de)

CoreFoundation

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir

Açıklama: Bir izin sorunu vardı. İzin doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2020-3913: Avira Operations GmbH & Co. KG şirketinden Timo Christ

Simgeler

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Alternatif bir uygulama simgesi ayarlanması, fotoğraf erişimi gerekmeden bir fotoğrafı açığa çıkarabilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2020-3916: Vitaliy Alekseev (@villy21)

Görüntü İşleme

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-9768: Mohamed Ghannam (@_simo36)

IOHIDFamily

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2020-3919: F-Secure Consulting'den Alex Plaskett

Çekirdek

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2020-3914: WaCai şirketinden pattern-f (@pattern_F_)

Çekirdek

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2020-9785: Qihoo 360 Nirvan Team'den Proteas

libxml2

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: libxml2'de birden çok sorun

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2020-3909: LGTM.com

CVE-2020-3911: OSS-Fuzz tarafından bulundu

libxml2

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: libxml2'de birden çok sorun

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2020-3910: LGTM.com

Mesajlar

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kilitli bir iOS aygıtına fiziksel erişimi bulunan bir kişi, yanıtlar etkisizleştirilmiş olsa bile mesajlara yanıt verebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-3891: Peter Scott

Korumalı Alan (Sandbox)

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Yerel bir kullanıcı hassas kullanıcı bilgilerini görüntüleyebilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2020-3918: Outcourse Limited'den Augusto Alvarez

WebKit

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bazı web siteleri Safari Tercihlerinde görünmüyor olabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

WebKit

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2020-3899: OSS-Fuzz tarafından bulundu

WebKit

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3895: grigoritchy

CVE-2020-3900: Venustech ADLab'den Dongzhuo Zhao

WebKit

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2020-3897: Brendan Draper (@6r3nd4n) (Trend Micro'nun Zero Day Initiative programıyla)

Ek teşekkür listesi

FontParser

Google Chrome'dan Matthew Denton'a yardımı için teşekkür ederiz.

Çekirdek

Siguza'ya yardımı için teşekkür ederiz.

LinkPresentation

Travis'e yardımı için teşekkür ederiz.

Telefon

Yiğit Can YILMAZ'a (@yilmazcanyigit) yardımı için teşekkür ederiz.

rapportd

Darmstadt Teknik Üniversitesi'nden Alexander Heinrich'e (@Sn0wfreeze) yardımı için teşekkür ederiz.

WebKit

Google Project Zero'dan Samuel Groß'a, hearmen'a yardımları için teşekkür ederiz.