watchOS 4'ün güvenlik içeriği hakkında

Bu belgede watchOS 4'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarını kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

watchOS 4

Yayınlanma tarihi: 19 Eylül 2017

802.1X

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir saldırgan, TLS 1.0 protokolündeki zayıflıktan yararlanabilir

Açıklama: TLS 1.1 ve TLS 1.2 etkinleştirilerek bir protokol güvenliği sorunu giderildi.

CVE-2017-13832: Florida Devlet Üniversitesi'nden Doug Wussler

Giriş eklenme tarihi: 31 Ekim 2017, giriş güncellenme tarihi: 10 Kasım 2017

CFNetwork

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-13829: Niklas Baumstark ve Samuel Gro (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2017-13833: Niklas Baumstark ve Samuel Gro (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 10 Kasım 2017

CFNetwork Proxy'ler

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla servis reddi sorunu giderildi.

CVE-2017-7083: Zscaler Inc. şirketinden Abhinav Bansal

Giriş eklenme tarihi: 25 Eylül 2017

CFString

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-13821: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

Giriş eklenme tarihi: 31 Ekim 2017

CoreAudio

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Opus 1.1.4 sürümüne güncelleme yapılarak, sınırların dışında okuma sorunu giderildi.

CVE-2017-0381: Trend Micro, Mobile Threat Research Team'den V.E.O (@VYSEa)

Giriş eklenme tarihi: 25 Eylül 2017

CoreText

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2017-13825: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

Giriş eklenme tarihi: 31 Ekim 2017, giriş güncellenme tarihi: 16 Kasım 2018

file

İlgili ürünler: Tüm Apple Watch modelleri

Etki: file'da birden fazla sorun

Açıklama: Yazılım 5.31 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2017-13815: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 31 Ekim 2017, giriş güncellenme tarihi: 18 Ekim 2018

Fontlar

İlgili ürünler: Tüm Apple Watch modelleri

Açıklama: Güvenilmeyen metinlerin işlenmesi sahteciliğe yol açabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2017-13828: Google Chrome'dan Leonard Grey ve Robert Sesek

Giriş eklenme tarihi: 31 Ekim 2017, giriş güncellenme tarihi: 10 Kasım 2017

HFS

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-13830: Bochum Ruhr Üniversitesi'nden Sergej Schumilo

Giriş eklenme tarihi: 31 Ekim 2017

ImageIO

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-13814: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

Giriş eklenme tarihi: 31 Ekim 2017, giriş güncellenme tarihi: 16 Kasım 2018

ImageIO

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-13831: Glen Carmichael

Giriş eklenme tarihi: 31 Ekim 2017, giriş güncellenme tarihi: 3 Nisan 2019

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Yerel bir kullanıcı çekirdek belleğini okuyabilir

Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Girdi doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-13817: Maxime Villard (m00nbsd)

Giriş eklenme tarihi: 31 Ekim 2017

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-13818: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: anonim bir araştırmacı

Giriş eklenme tarihi: 31 Ekim 2017, giriş güncellenme tarihi: 18 Haziran 2018

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-13843: anonim bir araştırmacı, anonim bir araştırmacı

Giriş eklenme tarihi: 31 Ekim 2017

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-7114: MWR InfoSecurity'den Alex Plaskett

Giriş eklenme tarihi: 25 Eylül 2017

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-13854: Qihoo 360 Nirvan Team'den shrek_wzw

Giriş eklenme tarihi: 2 Kasım 2017

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Hatalı bir mach ikili dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13834: Maxime Villard (m00nbsd)

Giriş eklenme tarihi: 10 Kasım 2017

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlı bir uygulama aygıttaki diğer uygulamaların varlığı ve çalışması ile ilgili bilgiler edinebilir.

Açıklama: Bir uygulama, işletim sistemi tarafından tutulan ağ etkinliği bilgilerine sınırlama olmaksızın erişebiliyordu. Üçüncü taraf uygulamaların erişebileceği bilgiler azaltılarak bu sorun giderildi.

CVE-2017-13873: Ohio Devlet Üniversitesi'nden Xiaokuan Zhang ve Yinqian Zhang, Bloomington Indiana Üniversitesi'nden Xueqiang Wang ve XiaoFeng Wang, Tsinghua Üniversitesi'nden Xiaolong Bai

Giriş eklenme tarihi: 30 Kasım 2017

libarchive

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-13813: OSS-Fuzz tarafından bulundu

CVE-2017-13816: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 31 Ekim 2017

libarchive

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması rastgele kod yürütülmesine neden olabilir

Açıklama: libarchive'da birden fazla bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorunlar giderildi.

CVE-2017-13812: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 31 Ekim 2017

libc

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Algoritma iyileştirilerek glob()'daki kaynak tükenmesi sorunu giderildi.

CVE-2017-7086: Google'dan Russ Cox

Giriş eklenme tarihi: 25 Eylül 2017

libc

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2017-1000373

Giriş eklenme tarihi: 25 Eylül 2017

libexpat

İlgili ürünler: Tüm Apple Watch modelleri

Etki: expat'te birden fazla sorun

Açıklama: Yazılım 2.2.1 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2016-9063

CVE-2017-9233

Giriş eklenme tarihi: 25 Eylül 2017

libxml2

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-9049: Singapur'daki Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang

Giriş eklenme tarihi: 18 Ekim 2018

libxml2

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-7376: anonim bir araştırmacı

CVE-2017-5130: anonim bir araştırmacı

Giriş eklenme tarihi: 18 Ekim 2018

libxml2

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-9050: Google Project Zero'dan Mateusz Jurczyk (j00ru)

Giriş eklenme tarihi: 18 Ekim 2018

libxml2

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.

CVE-2018-4302: Gustavo Grieco

Giriş eklenme tarihi: 18 Ekim 2018

Güvenlik

İlgili ürünler: Tüm Apple Watch modelleri

Etki: İptal edilmiş bir sertifikaya güvenilebilir

Açıklama: İptal verilerinin işlenmesinde bir sertifika doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-7080: anonim bir araştırmacı, adesso mobile solutions GmbH şirketinden Sven Driemecker, anonim bir araştırmacı, Bærum kommune'den Rune Darrud (@theflyingcorpse)

Giriş eklenme tarihi: 25 Eylül 2017

SQLite

İlgili ürünler: Tüm Apple Watch modelleri

Etki: SQLite'ta birden fazla sorun

Açıklama: Yazılım 3.19.3 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2017-10989: OSS-Fuzz tarafından bulundu

CVE-2017-7128: OSS-Fuzz tarafından bulundu

CVE-2017-7129: OSS-Fuzz tarafından bulundu

CVE-2017-7130: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 25 Eylül 2017

SQLite

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-7127: anonim bir araştırmacı

Giriş eklenme tarihi: 25 Eylül 2017

Wi-Fi

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Wi-Fi çipinde kötü amaçlı kod yürütülmesi, uygulama işlemcisinde çekirdek ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-7103: Google Project Zero'dan Gal Beniamini

CVE-2017-7105: Google Project Zero'dan Gal Beniamini

CVE-2017-7108: Google Project Zero'dan Gal Beniamini

CVE-2017-7110: Google Project Zero'dan Gal Beniamini

CVE-2017-7112: Google Project Zero'dan Gal Beniamini

Wi-Fi

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Wi-Fi çipinde kötü amaçlı kod yürütülmesi, sınırlanmış çekirdek belleğinin okunmasına neden olabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-7116: Google Project Zero'dan Gal Beniamini

zlib

İlgili ürünler: Tüm Apple Watch modelleri

Etki: zlib'de birden fazla sorun

Açıklama: Yazılım 1.2.11 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Giriş eklenme tarihi: 25 Eylül 2017

Ek teşekkür listesi

Güvenlik

Zscaler Inc. şirketinden Abhinav Bansal'a desteği için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: