watchOS 7.4'ün güvenlik içeriği hakkında
Bu belgede watchOS 7.4'ün güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
watchOS 7.4
Yayınlanma tarihi: 26 Nisan 2021
AppleMobileFileIntegrity
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, Gizlilik tercihlerini atlayabilir
Açıklama: Denetimler iyileştirilerek kod imzası doğrulamasındaki bir sorun giderildi.
CVE-2021-1849: Siguza
Audio
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1808: Ant Security Light-Year Lab'den JunDong Xie
CFNetwork
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, hassas kullanıcı bilgilerini açığa çıkarabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2021-1857: anonim bir araştırmacı
Compression
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi
Açıklama: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi, rastgele kod yürütülmesine neden olabilir.
CVE-2021-30752: Baidu Security'den Ye Zhang (@co0py_Cat)
Giriş eklenme tarihi: 21 Temmuz 2021
CoreAudio
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2021-30664: Ant Security Light-Year Lab'den JunDong Xie
Giriş eklenme tarihi: 6 Mayıs 2021
CoreAudio
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi sınırlandırılmış belleğin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-1846: Ant Security Light-Year Lab'den JunDong Xie
CoreAudio
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1809: Ant Security Light-Year Lab'den JunDong Xie
CoreFoundation
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, gizli kullanıcı bilgilerini sızdırabilir
Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2021-30659: Computest'ten Thijs Alkemade
CoreText
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1811: Ant Security Light-Year Lab'den Xingwei Lin
FaceTime
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir CallKit araması çalarken aramayı sessize alma işlemi gerçekleştirilemeyebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1872: Facebook'tan Siraj Zaneer
FontParser
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-1881: anonim bir araştırmacı, Ant Security Light-Year Lab'den Xingwei Lin, Trend Micro'dan Mickey Jin ve Qihoo 360'tan Hou JingYi (@hjy79425575)
Foundation
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2021-1813: Cees Elzinga
Heimdal
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş sunucu iletilerinin işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir
Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2021-1880: Ant Security Light-Year Lab'den Xingwei Lin
CVE-2021-30653: Baidu Security'den Ye Zhang
CVE-2021-1814: Ye Zhang, Baidu Security; Mickey Jin & Qi Sun, Trend Micro ve Xingwei Lin, Ant Security Light-Year Lab
CVE-2021-1843: Baidu Security'den Ye Zhang
ImageIO
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-1885: Topsec Alpha Team'den CFF
ImageIO
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2021-1858: Trend Micro'dan Mickey Jin
ImageIO
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi
Açıklama: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi, rastgele kod yürütülmesine neden olabilir.
CVE-2021-30743: Baidu Security'den Ye Zhang (@co0py_Cat), Jzhu (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den Xingwei Lin, Topsec Alpha Team'den CFF, THEORI'den Jeonghoon Shin (@singi21a) (Trend Micro'nun Zero Day Initiative programıyla)
Giriş eklenme tarihi: 21 Temmuz 2021
ImageIO
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Denetimler iyileştirilerek bu sorun giderildi
Açıklama: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi rastgele kod yürütülmesine neden olabilir.
CVE-2021-30764: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla)
Giriş eklenme tarihi: 21 Temmuz 2021
iTunes Store
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: JavaScript çalıştırma olanağına sahip bir saldırgan rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2021-1864: Ant-Financial LightYear Labs'den CodeColorist
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, çekirdek belleği açığa çıkarabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2021-1860: @0xalsr
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2021-1816: Pangu Lab'den Tielei Wang
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1851: @0xalsr
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kopyalanan dosyalar, beklenen dosya izinlerine sahip olmayabilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2021-1832: anonim bir araştırmacı
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, çekirdek belleği açığa çıkarabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-30660: Alex Plaskett
libxpc
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Ek doğrulama ile bir yarış durumu giderildi.
CVE-2021-30652: James Hutchins
libxslt
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek çift serbest bırakma sorunu giderildi.
CVE-2021-1875: OSS-Fuzz tarafından bulundu
MobileInstallation
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1822: The Grizzly Labs'den Bruno Virlet
Preferences
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: Yol doğrulaması iyileştirilerek, dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.
CVE-2021-1815: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)
CVE-2021-1739: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)
CVE-2021-1740: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)
Safari
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Yerel bir kullanıcı rastgele dosyalara yazabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2021-1807: David Schütz (@xdavidhu)
Tailspin
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1868: Zoom Communications'dan Tim Michaud
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2021-1825: Aon's Cyber Solutions'dan Alex Camboe
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bellek bozulması sorunu giderildi.
CVE-2021-1817: zhunki
Giriş güncellenme tarihi: 6 Mayıs 2021
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1826: anonim bir araştırmacı
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2021-1820: André Bargull
Giriş güncellenme tarihi: 6 Mayıs 2021
WebKit Storage
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2021-30661: 360 ATA'den yangkang (@dnpushme)
WebRTC
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi
Açıklama: Uzaktaki bir saldırgan, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleği bozabilir.
CVE-2020-7463: Megan2013678
Giriş eklenme tarihi: 21 Temmuz 2021
Wi-Fi
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi
Açıklama: Arabellek taşması, rastgele kod yürütülmesine neden olabilir.
CVE-2021-1770: Darmstadt Teknik Üniversitesindeki Secure Mobile Networking Lab'den Jiska Classen (@naehrdine)
Giriş eklenme tarihi: 21 Temmuz 2021
Ek teşekkür listesi
AirDrop
@maxzks adlı kullanıcıya yardımı için teşekkür ederiz.
CoreAudio
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
CoreCrypto
Orange Group'tan Andy Russon'a yardımı için teşekkür ederiz.
File Bookmark
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
Foundation
Ant-Financial LightYear Labs'den CodeColorist'e yardımı için teşekkür ederiz.
Kernel
Politecnico di Milano'dan Antonio Frighetto'ya, SensorFu'dan GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan ve Mikko Kenttälä'ya (@Turmio_), Pangu Lab'den Proteas ve Tielei Wang'e yardımları için teşekkür ederiz.
Security
John'a (@nyan_satan) ve Ant Security Light-Year Lab'den Xingwei Lin'e yardımları için teşekkür ederiz.
sysdiagnose
Leviathan'dan Tim Michaud'a (@TimGMichaud) yardımı için teşekkür ederiz.
WebKit
Mozilla'dan Emilio Cobos Álvarez'e yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.