watchOS 3.2'nin güvenlik içeriği hakkında
Bu belgede, watchOS 3.2'nin güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.
Mümkün olduğunda, Apple güvenlik belgelerinde güvenlik açıklarından CVE Kimliği ile bahsedilir.
watchOS 3.2
Ses
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2430: Trend Micro'nun Zero Day Initiative programında çalışan anonim bir araştırmacı
CVE-2017-2462: Trend Micro'nun Zero Day Initiative programında çalışan anonim bir araştırmacı
Carbon
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun, sınırların denetimi iyileştirilerek giderildi.
CVE-2017-2379: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥), Doyensec'ten John Villamil
CoreGraphics
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir
Açıklama: Sonsuz yineleme sorunu, durum yönetimi iyileştirilerek giderildi.
CVE-2017-2417: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
CoreGraphics
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Birden çok bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2444: 360 GearTeam'den Mei Wang
CoreText
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2435: Doyensec'ten John Villamil
CoreText
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Sınırların dışında okuma sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2450: Doyensec'ten John Villamil
CoreText
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi uygulamada servis reddine neden olabilir
Açıklama: Kaynak tükenmesi sorunu girdi doğrulaması iyileştirilerek giderildi.
CVE-2017-2461: anonim bir araştırmacı, IDAoADI'dan Isaac Archambault
FontParser
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Birden çok bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2487: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
CVE-2017-2406: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
FontParser
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının ayrıştırılması uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Birden çok bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2407: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
FontParser
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Sınırların dışında okuma sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2439: Doyensec'ten John Villamil
HTTPProtocol
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlı bir HTTP/2 sunucusu, tanımlanmayan davranışa neden olabilir
Açıklama: 1.17.0 sürümünden önceki nghttp2 sürümlerinde birden çok sorun vardı. Bu sorunlar nghttp2, 1.17.0 sürümüne güncellenerek giderildi.
CVE-2017-2428
ImageIO
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2416: Tencent KeenLab'den Qidan He (何淇丹, @flanker_hqd)
ImageIO
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasının görüntülenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2432: Trend Micro'nun Zero Day Initiative programında çalışan anonim bir araştırmacı
ImageIO
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2467
ImageIO
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir
Açıklama: 4.0.7 sürümünden önceki LibTIFF sürümlerinde sınırların dışında okuma sorunu vardı. Bu sorun ImageIO'da LibTIFF, 4.0.7 sürümüne güncellenerek giderildi.
CVE-2016-3619
Çekirdek
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2401: Qihoo 360 Vulcan Team'den Lufeng Li
Çekirdek
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Tamsayı taşması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2440: anonim bir araştırmacı
Çekirdek
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlı bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Yarış durumu sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2017-2456: Google Project Zero'dan lokihardt
Çekirdek
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Boşaltılan belleğin kullanılmasıyla ilgili bir sorun, bellek yönetimi iyileştirilerek giderildi.
CVE-2017-2472: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2473: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Yığın sorunu, sınırların denetimi iyileştirilerek giderildi.
CVE-2017-2474: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Yarış durumu sorunu, kilitleme iyileştirilerek giderildi.
CVE-2017-2478: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Arabellek taşması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2017-2482: Google Project Zero'dan Ian Beer
CVE-2017-2483: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Bir uygulama, yükseltilmiş ayrıcalıklarla rastgele kod yürütebilir
Açıklama: Bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2017-2490: Google Project Zero'dan Ian Beer, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)
Klavyeler
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Bir uygulama, rastgele kod yürütebilir
Açıklama: Arabellek taşması sorunu, sınırların denetimi iyileştirilerek giderildi.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Yerel konumdaki bir saldırgan, rastgele dizinlerde dosya sistemi izinlerini değiştirebilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Bu sorun, sembolik bağlantı doğrulaması iyileştirilerek giderildi.
CVE-2017-2390: enSilo Ltd'den Omer Medan
libc++abi
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlı bir C++ uygulamasının kodunun çözülmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Boşaltılan belleğin kullanılmasıyla ilgili bir sorun, bellek yönetimi iyileştirilerek giderildi.
CVE-2017-2441
libxslt
İlgili ürünler: Tüm Apple Watch modelleri
Etki: libxslt'de birden çok güvenlik açığı
Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2017-5029: Holger Fuhrmannek
Güvenlik
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Arabellek taşması sorunu, sınırların denetimi iyileştirilerek giderildi.
CVE-2017-2451: Longterm Security, Inc.'ten Alex Radocea
Güvenlik
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş x509 sertifikasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sertifikaların ayrıştırılmasında bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2017-2485: Cisco Talos'tan Aleksandar Nikolic
WebKit
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Tür karışıklığı sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2017-2415: Tencent's Xuanwu Lab'den (tentcent.com) Kai Kang
WebKit
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi yüksek düzeyde bellek tüketimine neden olabilir
Açıklama: Denetimsiz kaynak tüketimi sorunu, regex (normal ifade) işlemesi iyileştirilerek giderildi.
CVE-2016-9643: Gustavo Grieco
WebKit
İlgili ürünler: Tüm Apple Watch modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Boşaltılan belleğin kullanılmasıyla ilgili bir sorun, bellek yönetimi iyileştirilerek giderildi.
CVE-2017-2471: Google Project Zero'dan Ivan Fratric
Ek teşekkür listesi
XNU
Qihoo 360 Vulcan Team'den Lufeng Li'ye desteği için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.