watchOS 7.4'ün güvenlik içeriği hakkında

Bu belgede watchOS 7.4'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

watchOS 7.4

AppleMobileFileIntegrity

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Denetimler iyileştirilerek kod imzası doğrulamasındaki bir sorun giderildi.

CVE-2021-1849: Siguza

Audio

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-1808: Ant Security Light-Year Lab'den JunDong Xie

CFNetwork

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, hassas kullanıcı bilgilerini açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2021-1857: anonim bir araştırmacı

Compression

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi

Açıklama: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi, rastgele kod yürütülmesine neden olabilir.

CVE-2021-30752: Baidu Security'den Ye Zhang (@co0py_Cat)

CoreAudio

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2021-30664: Ant Security Light-Year Lab'den JunDong Xie

CoreAudio

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi sınırlandırılmış belleğin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-1846: Ant Security Light-Year Lab'den JunDong Xie

CoreAudio

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-1809: Ant Security Light-Year Lab'den JunDong Xie

CoreFoundation

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, gizli kullanıcı bilgilerini sızdırabilir

Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2021-30659: Computest'ten Thijs Alkemade

CoreText

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1811: Ant Security Light-Year Lab'den Xingwei Lin

FaceTime

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir CallKit araması çalarken aramayı sessize alma işlemi gerçekleştirilemeyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1872: Facebook'tan Siraj Zaneer

FontParser

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-1881: anonim bir araştırmacı, Ant Security Light-Year Lab'den Xingwei Lin, Trend Micro'dan Mickey Jin ve Qihoo 360'tan Hou JingYi (@hjy79425575)

Foundation

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir

Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2021-1813: Cees Elzinga

Heimdal

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş sunucu iletilerinin işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-1880: Ant Security Light-Year Lab'den Xingwei Lin

CVE-2021-30653: Baidu Security'den Ye Zhang

CVE-2021-1814: Ye Zhang, Baidu Security; Mickey Jin & Qi Sun, Trend Micro ve Xingwei Lin, Ant Security Light-Year Lab

CVE-2021-1843: Baidu Security'den Ye Zhang

ImageIO

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-1885: Topsec Alpha Team'den CFF

ImageIO

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2021-1858: Trend Micro'dan Mickey Jin

ImageIO

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi

Açıklama: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi, rastgele kod yürütülmesine neden olabilir.

CVE-2021-30743: Baidu Security'den Ye Zhang (@co0py_Cat), Jzhu (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den Xingwei Lin, Topsec Alpha Team'den CFF, THEORI'den Jeonghoon Shin (@singi21a) (Trend Micro'nun Zero Day Initiative programıyla)

ImageIO

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Denetimler iyileştirilerek bu sorun giderildi

Açıklama: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi rastgele kod yürütülmesine neden olabilir.

CVE-2021-30764: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla)

iTunes Store

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: JavaScript çalıştırma olanağına sahip bir saldırgan rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2021-1864: Ant-Financial LightYear Labs'den CodeColorist

Kernel

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, çekirdek belleği açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2021-1860: @0xalsr

Kernel

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2021-1816: Pangu Lab'den Tielei Wang

Kernel

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1851: @0xalsr

Kernel

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kopyalanan dosyalar, beklenen dosya izinlerine sahip olmayabilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2021-1832: anonim bir araştırmacı

Kernel

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, çekirdek belleği açığa çıkarabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-30660: Alex Plaskett

libxpc

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2021-30652: James Hutchins

libxslt

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek çift serbest bırakma sorunu giderildi.

CVE-2021-1875: OSS-Fuzz tarafından bulundu

MobileInstallation

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1822: The Grizzly Labs'den Bruno Virlet

Preferences

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Yol doğrulaması iyileştirilerek, dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.

CVE-2021-1815: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)

CVE-2021-1739: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)

CVE-2021-1740: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)

Safari

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Yerel bir kullanıcı rastgele dosyalara yazabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2021-1807: David Schütz (@xdavidhu)

Tailspin

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1868: Zoom Communications'dan Tim Michaud

WebKit

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2021-1825: Aon's Cyber Solutions'dan Alex Camboe

WebKit

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2021-1817: zhunki

WebKit

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1826: anonim bir araştırmacı

WebKit

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2021-1820: André Bargull

WebKit Storage

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2021-30661: 360 ATA'den yangkang (@dnpushme)

WebRTC

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi

Açıklama: Uzaktaki bir saldırgan, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleği bozabilir.

CVE-2020-7463: Megan2013678

Wi-Fi

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi

Açıklama: Arabellek taşması, rastgele kod yürütülmesine neden olabilir.

CVE-2021-1770: Darmstadt Teknik Üniversitesindeki Secure Mobile Networking Lab'den Jiska Classen (@naehrdine)

Ek teşekkür listesi

AirDrop

@maxzks adlı kullanıcıya yardımı için teşekkür ederiz.

CoreAudio

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

CoreCrypto

Orange Group'tan Andy Russon'a yardımı için teşekkür ederiz.

File Bookmark

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Foundation

Ant-Financial LightYear Labs'den CodeColorist'e yardımı için teşekkür ederiz.

Kernel

Politecnico di Milano'dan Antonio Frighetto'ya, SensorFu'dan GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan ve Mikko Kenttälä'ya (@Turmio_), Pangu Lab'den Proteas ve Tielei Wang'e yardımları için teşekkür ederiz.

Security

John'a (@nyan_satan) ve Ant Security Light-Year Lab'den Xingwei Lin'e yardımları için teşekkür ederiz.

sysdiagnose

Leviathan'dan Tim Michaud'a (@TimGMichaud) yardımı için teşekkür ederiz.

WebKit

Mozilla'dan Emilio Cobos Álvarez'e yardımı için teşekkür ederiz.