watchOS 2'nin güvenlik içeriği hakkında

Bu belgede, watchOS 2'nin güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz ya da onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi almak için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

watchOS 2

  • Apple Pay

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Bazı kartlar, bir terminalin ödeme yaparken sınırlı miktarda yakın zamanlı işlem bilgisini almasına izin verebilir

    Açıklama: İşlem günlüğü işlevi belirli konfigürasyonlarda etkindi. İşlem günlüğü işlevi kaldırılarak bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5916

  • Audio

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı bir ses dosyasının oynatılması, uygulamanın beklenmeyen biçimde sonlandırılmasına yol açabilir

    Açıklama: Ses dosyalarının işlenmesinde bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5862: Information Security Lab'den YoungJin Yoon (Danışman: Prof. Taekyoung Kwon), Yonsei University, Seul, Kore

  • Certificate Trust Policy

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Sertifika güven politikasında güncelleme

    Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi şu adreste görüntülenebilir: https://support.apple.com/HT204873.

  • CFNetwork

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, SSL/TLS bağlantılarını ele geçirebilir

    Açıklama: NSURL'de bir sertifika değiştiğinde sertifika doğrulama sorunu vardı. Sertifika doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5824: Omni Group'tan Timothy J. Wood

  • CFNetwork

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı bir web proxy'sine bağlanmak, bir web sitesi için kötü amaçlı çerezler ayarlayabilir

    Açıklama: Proxy bağlantı yanıtlarının işlenmesinde bir sorun vardı. Bağlantı yanıtı ayrıştırılırken ayarlanan çerez başlığı kaldırılarak bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5841: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua Üniversitesi

  • CFNetwork

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, bir kullanıcının etkinliğini izleyebilir

    Açıklama: Üst düzey alan adlarının işlenmesinde alanlar arası çerez sorunu vardı. Çerez oluşturma sınırlamaları iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5885: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua Üniversitesi

  • CFNetwork

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: iOS aygıtına fiziksel erişimi olan bir kişi, Apple uygulamalarından önbellek verilerini okuyabilir

    Açıklama: Önbellek verileri yalnızca donanım UID'si tarafından korunan bir anahtarla şifreleniyordu. Önbellek verilerinin, donanım UID'si tarafından korunan bir anahtar ve kullanıcı parolası ile şifrelenmesi sağlanarak bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5898: NESO Security Labs'den Andreas Kurtz

  • CoreCrypto

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Bir saldırgan özel bir anahtarın ne olduğunu belirleyebilir

    Açıklama: Bir saldırgan, çok sayıda imzalama veya şifre çözme girişimini gözlemleyerek RSA özel anahtarını belirleyebiliyordu. Şifreleme algoritmaları iyileştirilerek bu sorun giderildi.

  • CoreText

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlarla hazırlanmış bir yazı tipi dosyasının işlenmesi, rastgele kod yürütülmesine yol açabilir

    Açıklama: Yazı tipi dosyalarının işlenmesinde bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Ekibi

  • Data Detectors Engine

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlarla hazırlanmış bir metin dosyasının işlenmesi, rastgele kod yürütülmesine neden olabilir

    Açıklama: Metin dosyalarının işlenmesinde bellek bozulması sorunları vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.

    CVE Kimliği

    CVE-2015-5829: Safeye Team'den (www.safeye.org) M1x7e1

  • Dev Tools

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: dyld'de bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5876: grayhash'ten beist

  • Disk Images

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: DiskImages'ta bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Bir uygulama kod imzalamayı atlayabilir

    Açıklama: Yürütülebilir dosyaların kod imzasının doğrulanmasıyla ilgili bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Ekibi

  • GasGauge

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte birden fazla bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE Kimliği

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: ICU'da birden fazla güvenlik açığı

    Açıklama: 53.1.0 öncesi ICU sürümlerinde birden fazla güvenlik açığı vardı. Bu sorunlar, ICU'nun sürüm 55.1'e güncellenmesiyle giderildi.

    CVE Kimliği

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Google Project Zero'dan Mark Brand

  • IOAcceleratorFamily

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı bir uygulama, çekirdek bellek düzenini belirleyebilir

    Açıklama: Çekirdek belleği içeriğinin açık hale gelmesine neden olan bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5834: Alibaba Mobile Security Team'den Cererdlong

  • IOAcceleratorFamily

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOAcceleratorFamily'de bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOMobileFrameBuffer'da bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir saldırgan çekirdek belleğini okuyabilir

    Açıklama: Çekirdekte bir bellek ilklendirme sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5863: IOActive'den Ilja van Sprundel

  • Kernel

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5868: Alibaba Mobile Security Team'den Cererdlong

    CVE-2015-5896: m00nbsd'den Maxime Villard

    CVE-2015-5903: CESG

  • Kernel

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir saldırgan, yığın çerezlerinin değerini kontrol edebilir

    Açıklama: Kullanıcı alanı yığını çerezlerinin oluşturulmasında birden fazla zayıflık vardı. Kontrol amaçlı yığın çerezi oluşturma işlemi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2013-3951: Stefan Esser

  • Kernel

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir işlem, yetkilendirme kontrolleri olmadan diğer işlemleri değiştirebilir

    Açıklama: Processor_set_tasks API'sini kullanan kök işlemlerinin, diğer işlemlerin görev bağlantı noktalarını almasına izin veren bir sorun vardı. Yetki denetimleri artırılarak bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5882: Ming-chieh Pan ve Sung-ting Tsai tarafından gerçekleştirilen özgün araştırmayı temel alarak çalışan Pedro Vilaça; Jonathan Levin

  • Kernel

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel LAN segmentindeki bir saldırgan, IPv6 yönlendirmesini devre dışı bırakabilir

    Açıklama: IPv6 yönlendirici reklamlarının işlenmesinde, bir saldırganın atlama sınırını rastgele bir değere ayarlamasına olanak tanıyan yetersiz doğrulama sorunu vardı. Minimum atlama sınırı uygulanarak bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı çekirdek bellek düzenini belirleyebilir

    Açıklama: XNU'da çekirdek belleğinin açık hale gelmesine neden olan bir sorun vardı. Çekirdek bellek yapılarının ilklendirilmesi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5842: grayhash'ten beist

  • Kernel

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı, sistemin servis reddine neden olabilir

    Açıklama: HFS sürücüsünün bağlanmasında bir sorun vardı. Doğrulama denetimleri artırılarak bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5748: m00nbsd'den Maxime Villard

  • libpthread

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5899: Qihoo 360 Vulcan Team'den Lufeng Li

  • PluginKit

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı bir kurumsal uygulama, uygulamaya güvenilmeden önce uzantılar yükleyebilir

    Açıklama: Yükleme sırasında uzantıların doğrulanmasında bir sorun vardı. Uygulama doğrulaması iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5837: FireEye, Inc.'ten Zhaofeng Chen, Hui Xue ve Tao (Lenx) Wei

  • removefile

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı verilerin işlenmesi, uygulamanın beklenmeyen şekilde sonlandırılmasına yol açabilir

    Açıklama: checkint bölme yordamlarında bir taşma hatası vardı. Bölme yordamları iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5840: anonim bir araştırmacı

  • SQLite

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: SQLite v3.8.5'te birden fazla güvenlik açığı

    Açıklama: SQLite v3.8.5'te birden fazla güvenlik açığı vardı. Bu sorunlar, SQLite 3.8.10.2 sürümüne güncelleme yapılarak giderildi.

    CVE Kimliği

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlarla hazırlanmış bir web sitesini ziyaret etmek, rastgele kod yürütülmesine neden olabilir

    Açıklama: Tidy'de bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2015-5522 : NULLGroup.com'dan Fernando Muñoz

    CVE-2015-5523 : NULLGroup.com'dan Fernando Muñoz

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: