watchOS 10'un güvenlik içeriği hakkında
Bu belgede watchOS 10'un güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz ya da onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
watchOS 10
Yayınlanma tarihi: 18 Eylül 2023
App Store
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Uzaktaki bir saldırgan Web İçeriği korumalı alanını ihlal edebilir
Açıklama: Protokollerin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-40448: w0wbox
Apple Neural Engine
Apple Neural Engine'e sahip ilgili ürünler: Apple Watch Series 9 ve Apple Watch Ultra 2
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK), Baidu Security
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Apple Neural Engine'e sahip ilgili ürünler: Apple Watch Series 9 ve Apple Watch Ultra 2
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Apple Neural Engine'e sahip ilgili ürünler: Apple Watch Series 9 ve Apple Watch Ultra 2
Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Apple Neural Engine'e sahip ilgili ürünler: Apple Watch Series 9 ve Apple Watch Ultra 2
Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2023-40410: Tim Michaud (@TimGMichaud), Moveworks.ai
AuthKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-32361: Csaba Fitzl (@theevilbit), Offensive Security
Bluetooth
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir saldırgan kısıtlı sınırların dışında yazmaya neden olabilir
Açıklama: Denetimler iyileştirilerek sorun giderildi.
CVE-2023-35984: zer0k
bootp
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, hassas konum bilgilerini okuyabilir
Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.
CVE-2023-41065: Adam M., Noah Roskin-Frazee ve Prof. Jason Lau (ZeroClicks.ai Lab)
CFNetwork
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Uygulama Aktarım Güvenliği bir uygulamada yürütülemeyebilir
Açıklama: Protokollerin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-38596: Will Brattain, Trail of Bits
CoreAnimation
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Web içeriğinin işlenmesi servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-40420: 이준성(Junsung Lee), Cross Republic
Core Data
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir
Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.
CVE-2023-40528: Kirin (@Pwnrin), NorthSea
Giriş eklenme tarihi: 22 Ocak 2024
Dev Tools
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2023-32396: Mickey Jin (@patch1t)
Game Center
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, kişilere erişebilir
Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-40395: Csaba Fitzl (@theevilbit), Offensive Security
IOUserEthernet
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-40396: Certik Skyfall Ekibi
Giriş eklenme tarihi: 16 Temmuz 2024
Kernel
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği önlemlerini atlayabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-41981: Linus Henze, Pinauten GmbH (pinauten.de)
Kernel
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927), STAR Labs SG Pte. Ltd.
Kernel
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Doğrulama işlemi iyileştirilerek izin sorunu giderildi.
CVE-2023-40429: Michael (Biscuit) Thomas ve 张师傅 (@京东蓝军)
libpcap
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Uzaktaki bir kullanıcı, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2023-40400: Sei K.
libxpc
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, izni olmadan dosya silebilir
Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.
CVE-2023-40454: Zhipeng Huo (@R3dF09), Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir
Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.
CVE-2023-41073: Zhipeng Huo (@R3dF09), Tencent Security Xuanwu Lab (xlab.tencent.com)
libxslt
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-40403: Dohyun Lee (@l33d0hyun), PK Security
Maps
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, hassas konum bilgilerini okuyabilir
Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-40427: Adam M. ve Wojciech Regula, SecuRing (wojciechregula.blog)
Maps
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, hassas konum bilgilerini okuyabilir
Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.
CVE-2023-42957: BreakPoint Security Research'ten Adam M. ve Ron Masas
Giriş eklenme tarihi: 16 Temmuz 2024
MobileStorageMounter
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir kullanıcı ayrıcalıkları yükseltebilir
Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.
CVE-2023-41068: Mickey Jin (@patch1t)
Passcode
İlgili sürümler: Apple Watch Ultra (tüm modeller)
Etki: Apple Watch Ultra, Depth uygulaması kullanılırken kilitlenmeyebilir
Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.
CVE-2023-40418: Serkan Gurbuz
Photos
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama geçici dizine kaydedilen düzenlenmiş fotoğraflara erişebilir
Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.
CVE-2023-42949: Kirin (@Pwnrin)
Giriş eklenme tarihi: 16 Temmuz 2024
Photos Storage
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama geçici dizine kaydedilen düzenlenmiş fotoğraflara erişebilir
Açıklama: Denetimler iyileştirilerek sorun giderildi.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Safari
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, kullanıcının yüklediği diğer uygulamaları belirleyebilir
Açıklama: Denetimler iyileştirilerek sorun giderildi.
CVE-2023-35990: Sentry Cybersecurity'den Adriatik Raci
Safari
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kötü amaçlı içerikler barındıran bir web sitesinin ziyaret edilmesi, kullanıcı arabirimi sahteciliğine (UI spoofing) neden olabilir
Açıklama: Durum yönetimi iyileştirilerek pencere yönetimi sorunu giderildi.
CVE-2023-40417: Hindistan'ın Pune şehrindeki Suma Soft Pvt. Ltd. şirketinden Narendra Bhati (twitter.com/imnarendrabhati)
Giriş güncellenme tarihi: 02 Ocak 2024
Sandbox
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, rastgele dosyaların üzerine yazabilir
Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, kullanıcı bağlantı paylaştığında günlüğe kaydedilen hassas verilere erişebilir
Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.
CVE-2023-41070: Kirin (@Pwnrin)
Simulator
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Denetimler iyileştirilerek sorun giderildi.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
StorageKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, rastgele dosyaları okuyabilir
Açıklama: Sembolik bağlantıların doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2023-41968: Mickey Jin (@patch1t) ve James Hutchins
TCC
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Denetimler iyileştirilerek sorun giderildi.
CVE-2023-40424: Offensive Security'den Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) ve Csaba Fitzl (@theevilbit)
WebKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
WebKit Bugzilla: 249451
CVE-2023-39434: PK Security'den Francisco Alonso (@revskills) ve Dohyun Lee (@l33d0hyun)
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Giriş güncellenme tarihi: 02 Ocak 2024
WebKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Denetimler iyileştirilerek sorun giderildi.
WebKit Bugzilla: 256551
CVE-2023-41074: Cross Republic'ten 이준성 (Junsung Lee) ve HKUS3 Lab'den Jie Ding (@Lime)
Giriş güncellenme tarihi: 02 Ocak 2024
WebKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou Üniversitesi Abysslab'den Dong Jun Kim (@smlijun) ve Jong Seong Kim (@nevul37)
Giriş güncellenme tarihi: 02 Ocak 2024
Ek teşekkür listesi
Airport
Yardımları için Adam M., Noah Roskin-Frazee ve Prof. Jason Lau'ya (ZeroClicks.ai Lab) teşekkür ederiz.
Audio
Yardımları için Mickey Jin'e (@patch1t) teşekkür ederiz.
Bluetooth
Yardımları için 360 Vulnerability Research Institute kurumundan Jianjun Dai ve Guang Gong'a teşekkür ederiz.
Books
Nixu Cybersecurity'den Aapo Oksman'a yardımı için teşekkür ederiz.
Control Center
Yardımı için Chester van den Bogaard'a teşekkür ederiz.
Data Detectors UI
Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) yardımı için teşekkür ederiz.
Find My
Cher Scarlett'e yardımı için teşekkür ederiz.
Home
Jake Derouin'e (jakederouin.com) yardımı için teşekkür ederiz.
IOUserEthernet
Certik Skyfall Ekibi'ne yardımları için teşekkür ederiz.
Giriş eklenme tarihi: 02 Ocak 2024
Kernel
永超 王 isimli kullanıcıya, Toronto Üniversitesi Munk School'daki Citizen Lab'den Bill Marczak ve Google Threat Analysis Group'tan Maddie Stone'a yardımları için teşekkür ederiz.
libxml2
OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.
libxpc
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
libxslt
Yardımları için OSS-Fuzz'a, PK Security'den Dohyun Lee'ye (@l33d0hyun) ve Google Project Zero'dan Ned Williamson'a teşekkür ederiz.
NSURL
Yardımları için Zhanpeng Zhao'ya (行之) ve 糖豆爸爸 (@晴天组织) adlı kişiye teşekkür ederiz.
Photos
Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius ve Paul Lurin'e yardımları için teşekkür ederiz.
Giriş güncellenme tarihi: 16 Temmuz 2024
Photos Storage
Yardımları için SecuRing'den Wojciech Regula'ya (wojciechregula.blog) teşekkür ederiz.
Power Services
Yardımları için Mickey Jin'e (@patch1t) teşekkür ederiz.
Shortcuts
Yardımları için Alfie CG'ye, Bundesamt für Sicherheit in der Informationstechnik'ten Christian Basting'e, "Tudor Vianu" Romanya Ulusal Bilgisayar Bilimleri Lisesinden Cristian Dinca'ya, Giorgos Christodoulidis'e, TRS Group Of Companies'den Jubaer Alnazi'ye, KRISHAN KANT DWIVEDI'ye (@xenonx7) ve Matthew Butler'a teşekkür ederiz.
Giriş güncellenme tarihi: 24 Nisan 2024
Software Update
Yardımı için Omar Siman'a teşekkür ederiz.
StorageKit
Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.
WebKit
Yardımları için anonim bir araştırmacıya ve Suma Soft Pvt Ltd. şirketinden Khiem Tran'a ve Narendra Bhati'ye teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.