watchOS 3.1.3'ün güvenlik içeriği hakkında

Bu belgede, watchOS 3.1.3'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Mümkün olduğunda, Apple güvenlik belgelerinde güvenlik açıklarından CVE Kimliği ile bahsedilir.

watchOS 3.1.3

Yayınlanma tarihi: 23 Ocak 2017

Hesaplar

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Uygulamanın kaldırılması, yetkilendirme ayarlarını sıfırlamadı

Açıklama: Uygulamaların kaldırılması sırasında yetkilendirme ayarlarının sıfırlanmamasına neden olan bir sorun vardı. Bu sorun, temizleme işlemi iyileştirilerek giderildi.

CVE-2016-7651: Trend Micro'dan Ju Zhu ve Lilang Wu

APNs Sunucusu

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcının etkinliklerini izleyebilir

Açıklama: Bir istemci sertifikası düz metin olarak gönderiliyordu. Bu sorun, sertifikanın işlenmesi iyileştirilerek giderildi.

CVE-2017-2383: Matthias Wachs ve Quirin Scheitle, Münih Teknik Üniversitesi (TUM)

Giriş eklenme tarihi: 28 Mart 2017

Ses

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi, rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7658: Tencent bünyesindeki Keen Lab'den (@keen_lab) Haohao Kong

CVE-2016-7659: Tencent bünyesindeki Keen Lab'den (@keen_lab) Haohao Kong

CoreFoundation

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş dizelerin işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Dizelerin işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE-2016-7663: anonim bir araştırmacı

CoreGraphics

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Bir null işaretçi başvurusu sorunu, giriş doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-7627: TRAPMINE Inc. ve Meysam Firouzi @R00tkitSMM

CoreMedia Oynatma

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir .mp4 dosyasının işlenmesi, rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7588: Huawei 2012 Laboratories'den dragonltx

CoreText

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi, rastgele kod yürütülmesine neden olabilir

Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar sınır denetimi iyileştirilerek giderildi.

CVE-2016-7595: Tencent Güvenlik Platformu Departmanı'ndan riusksk(泉哥)

Disk Görüntüleri

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7616: Trend Micro'nun Zero Day Initiative programında çalışan daybreaker@Minionz

FontParser

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi, rastgele kod yürütülmesine neden olabilir

Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar sınır denetimi iyileştirilerek giderildi.

CVE-2016-4691: Tencent Güvenlik Platformu Departmanı'ndan riusksk(泉哥)

FontParser

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi, rastgele kod yürütülmesine neden olabilir

Açıklama: Font dosyalarının işlenmesinde bir arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE-2016-4688: Alipay firmasından Simon Huang, thelongestusernameofall@gmail.com

ICU

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7594: André Bargull

ImageIO

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Sınır denetimi iyileştirilerek, sınırların dışında okuma sorunu giderildi.

CVE-2016-7643: Qihoo360 Qex Team'den Yangkang (@dnpushme)

IOHIDFamily

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Sistem ayrıcalıklarına sahip yerel bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2016-7591: Minionz'dan daybreaker

IOKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, çekirdek belleğini okuyabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7657: Trend Micro'nun Zero Day Initiative programında çalışan Keen Lab

IOKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Yerel bir kullanıcı, çekirdek belleği düzenini belirleyebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir paylaşımlı bellek sorunu giderildi.

CVE-2016-7714: Trend Micro'nun Zero Day Initiative programında çalışan KeenLab'den Qidan He (@flanker_hqd)

Giriş eklenme tarihi: 25 Ocak 2017

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-7606: Topsec Alpha Team'den (topsec.com) Chen Qin, @cocoahuke

CVE-2016-7612: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, çekirdek belleğini okuyabilir

Açıklama: Bir yetersiz başlatma sorunu, kullanıcı alanına dönen belleğin uygun şekilde başlatılmasıyla giderildi.

CVE-2016-7607: Brandon Azad

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Yerel bir kullanıcı, sistem servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2016-7615: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2016-7621: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7637: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Sistem ayrıcalıklarına sahip yerel bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2016-7644: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2016-7647: Qihoo 360 Vulcan Team'den Lufeng Li

Giriş eklenme tarihi: 17 Mayıs 2017

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-2370: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-2360: Google Project Zero'dan Ian Beer

libarchive

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Yerel bir saldırgan, mevcut dosyaların üzerine yazabilir

Açıklama: Sembolik bağlantıların işlenmesinde, doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2016-7619: anonim bir araştırmacı

libarchive

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması, rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2016-8687: Gentoo'dan Agostino Sarubbo

Profiller

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir sertifikanın açılması, rastgele kod yürütülmesine neden olabilir

Açıklama: Sertifika profillerinin işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, giriş doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Güvenlik

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir saldırgan 3DES şifreleme algoritmasındaki açıktan yararlanabilir

Açıklama: 3DES, saptanmış şifreler arasından kaldırıldı.

CVE-2016-4693: INRIA Paris'ten Gaëtan Leurent ve Karthikeyan Bhargavan

Güvenlik

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servis reddine neden olabilir

Açıklama: OCSP yanıtlayıcı URL'lerinin işlenmesinde bir doğrulama sorunu vardı. Bu sorun, CA doğrulamasından sonra OCSP iptal durumunun doğrulanmasıyla ve sertifika başına OCSP isteği sayısının sınırlanmasıyla giderildi.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Güvenlik

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Sertifikalar beklenmeyen şekilde güvenilir olarak değerlendirilebilir

Açıklama: Sertifika doğrulamasında bir sertifika değerlendirme sorunu vardı. Bu sorun sertifikalara ek doğrulama yapılarak giderildi.

CVE-2016-7662: Apple

syslog

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir

Açıklama: "Mach port" ad referanslarındaki bir sorun, doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-7660: Google Project Zero'dan Ian Beer

iPhone ile Kilit Açma

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kullanıcının bileğinde değilken Apple Watch'un kilidi açılabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2017-2352: raptAware Pty Ltd'den Ashley Fernandez

Giriş güncellenme tarihi: 25 Ocak 2017

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7589: Apple

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kökenler arasında veri sızdırabilir

Açıklama: Sayfa yüklemesinin işlenmesinde birden çok doğrulama sorunu vardı. Bu sorun, işlem mantığı iyileştirilerek giderildi.

CVE-2017-2363: Google Project Zero'dan lokihardt

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: