watchOS 3.1'in güvenlik içeriği hakkında

Bu belgede, watchOS 3.1'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerimizi korumak amacıyla, tam bir inceleme gerçekleştirilip gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümlerin listesi Apple güvenlik güncellemeleri sayfasında bulunmaktadır.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Mümkün olduğunda, Apple güvenlik belgelerinde güvenlik açıklarından CVE Kimliği ile bahsedilir.

watchOS 3.1

Yayınlanma Tarihi: 24 Ekim 2016

AppleMobileFileIntegrity

İlgili ürünler: Tüm Apple Watch modelleri

Etki: İmzalı bir yürütülebilir dosya aynı ekip kimliğiyle kodları değiştirilebilir

Açıklama: Kod imzalarının işlenmesinde bir doğrulama sorunu vardı. Bu sorun, ek doğrulama aracılığıyla giderildi.

CVE-2016-7584: Google Inc.'den Mark Mentovai ve Boris Vidolov

Girişin eklenme tarihi: 6 Aralık 2016

CoreGraphics

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasını görüntülemek, rastgele kod yürütülmesine neden olabilir

Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4673: Tencent KeenLab'den (@keen_lab) Marco Grassi (@marcograss)

FontParser

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir fontu ayrıştırmak, hassas kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Bir sınırların dışında okuma sorunu, sınırların denetimi iyileştirilerek giderildi.

CVE-2016-4660: Tencent Xuanwu Lab'den Ke Liu

FontParser

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, rastgele kod yürütülmesine neden olabilir 

Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun, sınırların denetimi iyileştirilerek giderildi.

CVE-2016-4688: Alipay firmasından Simon Huang, thelongestusernameofall@gmail.com

Girişin eklenme tarihi: 27 Kasım 2016

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir

Açıklama: MIG tarafından oluşturulmuş kodda, birden çok girdi doğrulama sorunu vardı. Bu sorunlar, doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4669: Google Project Zero'dan Ian Beer

Giriş güncellenme tarihi: 2 Kasım 2016

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Bir doğrulama sorunu, girdi temizleme işlemi iyileştirilerek giderildi.

CVE-2016-4680: Lookout'tan Max Bazaliy ve in7egral

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Yerel bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Yeni işlemlerin oluşturulmasında birden çok nesne yaşam süresi sorunu vardı. Bu sorunlar, doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-7613: Google Project Zero'dan Ian Beer

Girişin eklenme tarihi: 1 Kasım 2016

libarchive

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçla oluşturulmuş bir arşiv, rastgele dosyaların üzerine yazabilir

Açıklama: Sembolik bağlantıların yol doğrulama mantığında bir sorun vardı. Bu sorun, yol temizleme işlemi iyileştirilerek giderildi.

CVE-2016-4679: enSilo Ltd'den Omer Medan

libxpc

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bir mantık sorunu, ek kısıtlamalarla giderildi.

CVE-2016-4675: Google Project Zero'dan Ian Beer

Korumalı Alan Profilleri

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, fotoğraf dizinlerinin meta verilerini alabilir

Açıklama: Bir erişim sorunu, üçüncü taraf uygulamalara yönelik ek korumalı alan kısıtlamalarıyla giderildi.

CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (Bükreş POLITEHNICA Üniversitesi); Luke Deshotels, William Enck (North Carolina Eyalet Üniversitesi); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Darmstadt Teknik Üniversitesi)

Korumalı Alan Profilleri

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, ses kayıt dizinlerinin meta verilerini alabilir

Açıklama: Bir erişim sorunu, üçüncü taraf uygulamalara yönelik ek korumalı alan kısıtlamalarıyla giderildi.

CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (Bükreş POLITEHNICA Üniversitesi); Luke Deshotels, William Enck (North Carolina Eyalet Üniversitesi); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Darmstadt Teknik Üniversitesi)

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: