Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.
Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.
watchOS 2
Apple Pay
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Bazı kartlar, ödeme yapılırken son işlem bilgilerini terminallerin sınırlı ölçüde elde etmesine izin verebilir
Açıklama: Belirli konfigürasyonlarda işlem günlüğü işlevleri etkinleştirilmişti. Bu sorun işlem günlüğü işlevleri kaldırılarak giderildi.
CVE kimliği
CVE-2015-5916
Ses
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Kötü amaçlı bir ses dosyasının çalınması uygulamanın beklenmedik bir şekilde sona ermesine neden olabilir
Açıklama: Ses dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5862 : Information Security Lab'den YoungJin Yoon (Danışman: Prof. Taekyoung Kwon), Yonsei University, Seul, Kore
Sertifika Güven Politikası
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Sertifika güven politikası güncellendi
Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi https://support.apple.com/tr-tr/HT204873 adresinde görüntülenebilir.
CFNetwork
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, SSL/TLS bağlantılarını ele geçirebilir
Açıklama: NSURL'de, bir sertifika değiştiğinde oluşan bir sertifika doğrulama sorunu vardı. Bu sorun, sertifika doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5824 : The Omni Group'tan Timothy J. Wood
CFNetwork
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Kötü amaçlı bir web proxy'sine bağlanılması bir web sitesi için kötü amaçlı çerezler ayarlayabilir
Açıklama: Proxy bağlantısı yanıtlarının işlenmesinde bir sorun vardı. Bu sorun, bağlantı yanıtı ayrıştırılırken ayarlanan çerez başlığı kaldırılarak giderildi.
CVE kimliği
CVE-2015-5841 : Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University
CFNetwork
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan bir kullanıcının etkinliklerini izleyebilir
Açıklama: En üst düzeydeki etki alanlarının işlenmesinde etki alanları arası bir çerez sorunu vardı. Bu sorun, çerez oluşturma sınırlamaları iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5885 : Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University
CFNetwork
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: iOS aygıtına fiziksel olarak erişebilen bir kişi, Apple uygulamalarındaki önbellek verilerini okuyabilir
Açıklama: Önbellek verileri, sadece donanım UID'si tarafından korunan bir anahtarla şifreleniyordu. Bu sorun, önbellek verilerinin, donanım UID'si tarafından korunan bir anahtar ve kullanıcının parolası ile şifrelenmesi sağlanarak giderildi.
CVE kimliği
CVE-2015-5898 : NESO Security Labs'den Andreas Kurtz
CoreCrypto
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Bir saldırgan, bir özel anahtarı belirleyebilir
Açıklama: Bir saldırgan, çok sayıda oturum açma ve şifre çözme girişimini gözlemleyerek RSA özel anahtarını belirleyebiliyordu. Bu sorun, şifreleme algoritmaları iyileştirilerek giderildi.
CoreText
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team
Veri Algılayıcıları Motoru
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Metin dosyalarının işlenmesinde bellek bozulması sorunları vardı. Bu sorunlar sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5829 : Safeye Team'den (www.safeye.org) M1x7e1
Dev Tools
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: dyld'de bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5876: grayhash'ten beist
Disk Görüntüleri
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: DiskImages'da bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5847 : Filippo Bigarella, Luca Todesco
dyld
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Bir uygulama kod imzalamayı atlayabilir
Açıklama: Yürütülebilir dosyaların kod imzası doğrulamasında bir sorun vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5839 : @PanguTeam, TaiG Jailbreak Team
GasGauge
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte birden fazla bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5918 : Apple
CVE-2015-5919 : Apple
ICU
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: ICU'da birden fazla güvenlik açığı
Açıklama: ICU 53.1.0 sürümünden önceki sürümlerde birden fazla güvenlik açığı vardı. Bu sorunlar, ICU sürümünün 55.1'e güncellenmesiyle giderildi.
CVE kimliği
CVE-2014-8146
CVE-2015-1205
IOAcceleratorFamily
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Kötü amaçlı bir uygulama çekirdek bellek düzenini belirleyebilir
Açıklama: Çekirdek bellek içeriğinin açığa çıkmasına neden olan bir sorun vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5834 : Alibaba Mobile Security Team'den Cererdlong
IOAcceleratorFamily
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOAcceleratorFamily'de bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5848 : Filippo Bigarella
IOKit
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5844 : Filippo Bigarella
CVE-2015-5845 : Filippo Bigarella
CVE-2015-5846 : Filippo Bigarella
IOMobileFrameBuffer
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOMobileFrameBuffer'da bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5843 : Filippo Bigarella
IOStorageFamily
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Yerel bir saldırgan çekirdek belleği okuyabilir
Açıklama: Çekirdekte bir bellek başlatma sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5863 : IOActive'den Ilja van Sprundel
Çekirdek
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5868 : Alibaba Mobile Security Team'den Cererdlong
CVE-2015-5896: m00nbsd'den Maxime Villard
CVE-2015-5903: CESG
Çekirdek
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Yerel bir saldırgan, kontrol amaçlı yığın çerezlerinin değerini kontrol edebilir
Açıklama: Kullanıcı alanında kontrol amaçlı yığın çerezlerinin oluşturulmasında birden fazla güvenlik açığı vardı. Bu sorun, kontrol amaçlı yığın çerezinin oluşturulma işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-3951 : Stefan Esser
Çekirdek
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Yerel bir işlem, yetki denetimleri olmadan diğer işlemleri değiştirebilir
Açıklama: processor_set_tasks API'sı kullanan kök işlemlerin diğer işlemlerin görev bağlantı noktalarını öğrenmesine olanak veren bir sorun vardı. Bu sorun yetki denetimlerinin artırılmasıyla giderildi.
CVE kimliği
CVE-2015-5882 : Pedro Vilaça, Ming-chieh Pan ve Sung-ting Tsai tarafından gerçekleştirilen özgün araştırma temel alınmıştır; Jonathan Levin
Çekirdek
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Yerel LAN bölümündeki bir saldırgan IPv6 yönlendirmesini etkisizleştirebilir
Açıklama: IPv6 yöneltici tanıtımlarının işlenmesinde bir saldırganın, atlama sınırını rastgele bir değere ayarlamasına izin veren bir yetersiz doğrulama sorunu vardı. Bu sorun minimum atlama sınırı uygulanarak giderildi.
CVE kimliği
CVE-2015-5869 : Dennis Spindel Ljungmark
Çekirdek
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Yerel bir kullanıcı çekirdek bellek düzenini belirleyebilir
Açıklama: XNU'da çekirdek belleğin açığa çıkmasına neden olan bir sorun vardı. Bu sorun çekirdek bellek yapılarının başlatılması iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5842 : grayhash'ten beist
Çekirdek
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Yerel bir kullanıcı sistemde hizmet reddine neden olabilir
Açıklama: HFS sürücüsü bağlama işleminde bir sorun vardı. Bu sorun doğrulama denetimleri artırılarak giderildi.
CVE kimliği
CVE-2015-5748: m00nbsd'den Maxime Villard
libpthread
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5899 : Qihoo 360 Vulcan Team'den Lufeng Li
PluginKit
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Kötü amaçlı olarak oluşturulmuş bir kurumsal uygulama, güvenilir olduğu belirlenmeden önce genişletme yükleyebilir
Açıklama: Yükleme sırasında genişletmelerin doğrulanmasında bir sorun vardı. Bu sorun, uygulama doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5837 : FireEye, Inc.'den Zhaofeng Chen, Hui Xue ve Tao (Lenx) Wei
removefile
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Kötü amaçlı verilerin işlenmesi uygulamanın beklenmedik şekilde sona ermesine neden olabilir
Açıklama: checkint bölme yordamlarında bir taşma hatası vardı. Bu sorun, bölme yordamları iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5840 : Anonim bir araştırmacı
SQLite
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: SQLite 3.8.5'te birden fazla güvenlik açığı
Açıklama: SQLite 3.8.5'te birden fazla güvenlik açığı vardı. Bu sorunlar SQLite sürümü 3.8.10.2'ye güncellenerek giderildi.
CVE kimliği
CVE-2015-5895
tidy
İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Tidy'de bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5522 : NULLGroup.com'dan Fernando Muñoz
CVE-2015-5523 : NULLGroup.com'dan Fernando Muñoz