watchOS 2.2.2'nin güvenlik içeriği hakkında

Bu belgede watchOS 2.2.2'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

watchOS 2.2.2

CoreGraphics

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-4637: Cisco Talos'tan (talosintel.com/vulnerability-reports) Tyler Bohan

ImageIO

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2016-4632: Yandex'ten Evgeny Sidorov

ImageIO

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-4631: Cisco Talos'tan (talosintel.com/vulnerability-reports) Tyler Bohan

ImageIO

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7705: Tripwire VERT'den Craig Young

IOAcceleratorFamily

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.

CVE-2016-4627: Trend Micro'dan Ju Zhu

IOAcceleratorFamily

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: Yerel bir kullanıcı çekirdek belleğini okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2016-4628: Trend Micro'dan Ju Zhu

IOHIDFamily

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.

CVE-2016-4626: SektionEins'tan Stefan Esser

IOHIDFamily

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-4650: Trend Micro'dan Peter Pi (HP Zero Day Initiative programıyla)

Çekirdek

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-1863: Google Project Zero'dan Ian Beer

CVE-2016-4653: Trend Micro'dan Ju Zhu

CVE-2016-4582: Qihoo 360 Nirvan Team'den Shrek_wzw ve Proteas

Çekirdek

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.

CVE-2016-1865: CESG ve Tencent KeenLab'den (@keen_lab) Marco Grassi (@marcograss)

Libc

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: linkaddr.c'deki "link_ntoa()" işlevinde bir arabellek taşması sorunu vardı. Ek sınır denetimleriyle bu sorun giderildi.

CVE-2016-6559: Apple

libxml2

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: libxml2'de birden çok güvenlik açığı

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang

CVE-2016-4447: Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

libxml2

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: Kötü amaçlarla oluşturulmuş bir XML belgesini ayrıştırmak kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Kötü amaçlarla oluşturulmuş XML dosyalarının ayrıştırılmasıyla ilgili bir sorun vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2016-4449: Kostya Serebryany

libxslt

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: libxslt'de birden çok güvenlik açığı

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Korumalı Alan Profilleri

İlgili ürünler: Apple Watch Sport, Apple Watch, Apple Watch Edition ve Apple Watch Hermès

Etki: Yerel bir uygulama, işlem listesine erişebilir

Açıklama: Ayrıcalıklı API çağrılarında bir erişim sorunu vardı. Ek kısıtlamalarla bu sorun giderildi.

CVE-2016-4594: SektionEins'tan Stefan Esser