watchOS 2'nin güvenlik içeriği hakkında

Bu belgede watchOS 2'nin güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

watchOS 2

  • Apple Pay

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Bazı kartlar, ödeme yapılırken son işlem bilgilerini terminallerin sınırlı ölçüde elde etmesine izin verebilir

    Açıklama: Belirli konfigürasyonlarda işlem günlüğü işlevleri etkinleştirilmişti. Bu sorun işlem günlüğü işlevleri kaldırılarak giderildi.

    CVE kimliği

    CVE-2015-5916

  • Ses

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı bir ses dosyasının çalınması uygulamanın beklenmedik bir şekilde sona ermesine neden olabilir

    Açıklama: Ses dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5862 : Information Security Lab'den YoungJin Yoon (Danışman: Prof. Taekyoung Kwon), Yonsei University, Seul, Kore

  • Sertifika Güven Politikası

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Sertifika güven politikası güncellendi

    Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi https://support.apple.com/tr-tr/HT204873 adresinde görüntülenebilir.

  • CFNetwork

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, SSL/TLS bağlantılarını ele geçirebilir

    Açıklama: NSURL'de, bir sertifika değiştiğinde oluşan bir sertifika doğrulama sorunu vardı. Bu sorun, sertifika doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5824 : The Omni Group'tan Timothy J. Wood

  • CFNetwork

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı bir web proxy'sine bağlanılması bir web sitesi için kötü amaçlı çerezler ayarlayabilir

    Açıklama: Proxy bağlantısı yanıtlarının işlenmesinde bir sorun vardı. Bu sorun, bağlantı yanıtı ayrıştırılırken ayarlanan çerez başlığı kaldırılarak giderildi.

    CVE kimliği

    CVE-2015-5841 : Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University

  • CFNetwork

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan bir kullanıcının etkinliklerini izleyebilir

    Açıklama: En üst düzeydeki etki alanlarının işlenmesinde etki alanları arası bir çerez sorunu vardı. Bu sorun, çerez oluşturma sınırlamaları iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5885 : Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University

  • CFNetwork

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: iOS aygıtına fiziksel olarak erişebilen bir kişi, Apple uygulamalarındaki önbellek verilerini okuyabilir

    Açıklama: Önbellek verileri, sadece donanım UID'si tarafından korunan bir anahtarla şifreleniyordu. Bu sorun, önbellek verilerinin, donanım UID'si tarafından korunan bir anahtar ve kullanıcının parolası ile şifrelenmesi sağlanarak giderildi.

    CVE kimliği

    CVE-2015-5898 : NESO Security Labs'den Andreas Kurtz

  • CoreCrypto

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Bir saldırgan, bir özel anahtarı belirleyebilir

    Açıklama: Bir saldırgan, çok sayıda oturum açma ve şifre çözme girişimini gözlemleyerek RSA özel anahtarını belirleyebiliyordu. Bu sorun, şifreleme algoritmaları iyileştirilerek giderildi.

  • CoreText

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team

  • Veri Algılayıcıları Motoru

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: Metin dosyalarının işlenmesinde bellek bozulması sorunları vardı. Bu sorunlar sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5829 : Safeye Team'den (www.safeye.org) M1x7e1

  • Dev Tools

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: dyld'de bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5876: grayhash'ten beist

  • Disk Görüntüleri

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: DiskImages'da bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5847 : Filippo Bigarella, Luca Todesco

  • dyld

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Bir uygulama kod imzalamayı atlayabilir

    Açıklama: Yürütülebilir dosyaların kod imzası doğrulamasında bir sorun vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5839 : @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte birden fazla bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5918 : Apple

    CVE-2015-5919 : Apple

  • ICU

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: ICU'da birden fazla güvenlik açığı

    Açıklama: ICU 53.1.0 sürümünden önceki sürümlerde birden fazla güvenlik açığı vardı. Bu sorunlar, ICU sürümünün 55.1'e güncellenmesiyle giderildi.

    CVE kimliği

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı bir uygulama çekirdek bellek düzenini belirleyebilir

    Açıklama: Çekirdek bellek içeriğinin açığa çıkmasına neden olan bir sorun vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5834 : Alibaba Mobile Security Team'den Cererdlong

  • IOAcceleratorFamily

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOAcceleratorFamily'de bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5848 : Filippo Bigarella

  • IOKit

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5844 : Filippo Bigarella

    CVE-2015-5845 : Filippo Bigarella

    CVE-2015-5846 : Filippo Bigarella

  • IOMobileFrameBuffer

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOMobileFrameBuffer'da bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5843 : Filippo Bigarella

  • IOStorageFamily

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir saldırgan çekirdek belleği okuyabilir

    Açıklama: Çekirdekte bir bellek başlatma sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5863 : IOActive'den Ilja van Sprundel

  • Çekirdek

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5868 : Alibaba Mobile Security Team'den Cererdlong

    CVE-2015-5896: m00nbsd'den Maxime Villard

    CVE-2015-5903: CESG

  • Çekirdek

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir saldırgan, kontrol amaçlı yığın çerezlerinin değerini kontrol edebilir

    Açıklama: Kullanıcı alanında kontrol amaçlı yığın çerezlerinin oluşturulmasında birden fazla güvenlik açığı vardı. Bu sorun, kontrol amaçlı yığın çerezinin oluşturulma işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-3951 : Stefan Esser

  • Çekirdek

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir işlem, yetki denetimleri olmadan diğer işlemleri değiştirebilir

    Açıklama: processor_set_tasks API'sı kullanan kök işlemlerin diğer işlemlerin görev bağlantı noktalarını öğrenmesine olanak veren bir sorun vardı. Bu sorun yetki denetimlerinin artırılmasıyla giderildi.

    CVE kimliği

    CVE-2015-5882 : Pedro Vilaça, Ming-chieh Pan ve Sung-ting Tsai tarafından gerçekleştirilen özgün araştırma temel alınmıştır; Jonathan Levin

  • Çekirdek

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel LAN bölümündeki bir saldırgan IPv6 yönlendirmesini etkisizleştirebilir

    Açıklama: IPv6 yöneltici tanıtımlarının işlenmesinde bir saldırganın, atlama sınırını rastgele bir değere ayarlamasına izin veren bir yetersiz doğrulama sorunu vardı. Bu sorun minimum atlama sınırı uygulanarak giderildi.

    CVE kimliği

    CVE-2015-5869 : Dennis Spindel Ljungmark

  • Çekirdek

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı çekirdek bellek düzenini belirleyebilir

    Açıklama: XNU'da çekirdek belleğin açığa çıkmasına neden olan bir sorun vardı. Bu sorun çekirdek bellek yapılarının başlatılması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5842 : grayhash'ten beist

  • Çekirdek

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı sistemde hizmet reddine neden olabilir

    Açıklama: HFS sürücüsü bağlama işleminde bir sorun vardı. Bu sorun doğrulama denetimleri artırılarak giderildi.

    CVE kimliği

    CVE-2015-5748: m00nbsd'den Maxime Villard

  • libpthread

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5899 : Qihoo 360 Vulcan Team'den Lufeng Li

  • PluginKit

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı olarak oluşturulmuş bir kurumsal uygulama, güvenilir olduğu belirlenmeden önce genişletme yükleyebilir

    Açıklama: Yükleme sırasında genişletmelerin doğrulanmasında bir sorun vardı. Bu sorun, uygulama doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5837 : FireEye, Inc.'den Zhaofeng Chen, Hui Xue ve Tao (Lenx) Wei

  • removefile

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlı verilerin işlenmesi uygulamanın beklenmedik şekilde sona ermesine neden olabilir

    Açıklama: checkint bölme yordamlarında bir taşma hatası vardı. Bu sorun, bölme yordamları iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5840 : Anonim bir araştırmacı

  • SQLite

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: SQLite 3.8.5'te birden fazla güvenlik açığı

    Açıklama: SQLite 3.8.5'te birden fazla güvenlik açığı vardı. Bu sorunlar SQLite sürümü 3.8.10.2'ye güncellenerek giderildi.

    CVE kimliği

    CVE-2015-5895

  • tidy

    İlgili ürünler: Apple Watch Sport, Apple Watch ve Apple Watch Edition

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: Tidy'de bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5522 : NULLGroup.com'dan Fernando Muñoz

    CVE-2015-5523 : NULLGroup.com'dan Fernando Muñoz

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: