watchOS 3.2'nin güvenlik içeriği hakkında

Bu belgede, watchOS 3.2'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Mümkün olduğunda, Apple güvenlik belgelerinde güvenlik açıklarından CVE Kimliği ile bahsedilir.

watchOS 3.2

Yayınlanma Tarihi: 27 Mart 2017

Ses

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2430: Trend Micro'nun Zero Day Initiative programında çalışan anonim bir araştırmacı

CVE-2017-2462: Trend Micro'nun Zero Day Initiative programında çalışan anonim bir araştırmacı

Carbon

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun, sınırların denetimi iyileştirilerek giderildi.

CVE-2017-2379: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥), Doyensec'ten John Villamil

CoreGraphics

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Sonsuz yineleme sorunu, durum yönetimi iyileştirilerek giderildi.

CVE-2017-2417: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

CoreGraphics

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Birden çok bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2444: 360 GearTeam'den Mei Wang

CoreText

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2435: Doyensec'ten John Villamil

CoreText

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Sınırların dışında okuma sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2450: Doyensec'ten John Villamil

CoreText

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi uygulamada servis reddine neden olabilir

Açıklama: Kaynak tükenmesi sorunu girdi doğrulaması iyileştirilerek giderildi.

CVE-2017-2461: anonim bir araştırmacı, IDAoADI'dan Isaac Archambault

FontParser

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Birden çok bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2487: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

CVE-2017-2406: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

FontParser

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının ayrıştırılması uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Birden çok bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2407: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

FontParser

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Sınırların dışında okuma sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2439: Doyensec'ten John Villamil

HTTPProtocol

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlı bir HTTP/2 sunucusu, tanımlanmayan davranışa neden olabilir

Açıklama: 1.17.0 sürümünden önceki nghttp2 sürümlerinde birden çok sorun vardı. Bu sorunlar nghttp2, 1.17.0 sürümüne güncellenerek giderildi.

CVE-2017-2428

Giriş 28 Mart 2017 tarihinde güncellendi

ImageIO

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2416: Tencent KeenLab'den Qidan He (何淇丹, @flanker_hqd)

ImageIO

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasının görüntülenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2432: Trend Micro'nun Zero Day Initiative programında çalışan anonim bir araştırmacı

ImageIO

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2467

ImageIO

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: 4.0.7 sürümünden önceki LibTIFF sürümlerinde sınırların dışında okuma sorunu vardı. Bu sorun ImageIO'da LibTIFF, 4.0.7 sürümüne güncellenerek giderildi.

CVE-2016-3619

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2401: Qihoo 360 Vulcan Team'den Lufeng Li

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Tamsayı taşması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2440: anonim bir araştırmacı

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlı bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Yarış durumu sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2017-2456: Google Project Zero'dan lokihardt

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Boşaltılan belleğin kullanılmasıyla ilgili bir sorun, bellek yönetimi iyileştirilerek giderildi.

CVE-2017-2472: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2473: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Yığın sorunu, sınırların denetimi iyileştirilerek giderildi.

CVE-2017-2474: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Yarış durumu sorunu, kilitleme iyileştirilerek giderildi.

CVE-2017-2478: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Arabellek taşması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2017-2482: Google Project Zero'dan Ian Beer

CVE-2017-2483: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, yükseltilmiş ayrıcalıklarla rastgele kod yürütebilir

Açıklama: Bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2017-2490: Google Project Zero'dan Ian Beer, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Giriş 31 Mart 2017 tarihinde eklendi

Klavyeler

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, rastgele kod yürütebilir

Açıklama: Arabellek taşması sorunu, sınırların denetimi iyileştirilerek giderildi.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Yerel konumdaki bir saldırgan, rastgele dizinlerde dosya sistemi izinlerini değiştirebilir

Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Bu sorun, sembolik bağlantı doğrulaması iyileştirilerek giderildi.

CVE-2017-2390: enSilo Ltd'den Omer Medan

libc++abi

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlı bir C++ uygulamasının kodunun çözülmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Boşaltılan belleğin kullanılmasıyla ilgili bir sorun, bellek yönetimi iyileştirilerek giderildi.

CVE-2017-2441

libxslt

İlgili ürünler: Tüm Apple Watch modelleri

Etki: libxslt'de birden çok güvenlik açığı

Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2017-5029: Holger Fuhrmannek

Giriş 28 Mart 2017 tarihinde eklendi

Güvenlik

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Arabellek taşması sorunu, sınırların denetimi iyileştirilerek giderildi.

CVE-2017-2451: Longterm Security, Inc.'ten Alex Radocea

Güvenlik

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş x509 sertifikasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sertifikaların ayrıştırılmasında bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2485: Cisco Talos'tan Aleksandar Nikolic

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Tür karışıklığı sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2017-2415: Tencent's Xuanwu Lab'den (tentcent.com) Kai Kang

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi yüksek düzeyde bellek tüketimine neden olabilir

Açıklama: Denetimsiz kaynak tüketimi sorunu, regex (normal ifade) işlemesi iyileştirilerek giderildi.

CVE-2016-9643: Gustavo Grieco

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Boşaltılan belleğin kullanılmasıyla ilgili bir sorun, bellek yönetimi iyileştirilerek giderildi.

CVE-2017-2471: Google Project Zero'dan Ivan Fratric

Ek teşekkür listesi

XNU

Qihoo 360 Vulcan Team'den Lufeng Li'ye desteği için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: