watchOS 4‘ün güvenlik içeriği hakkında

Bu belgede watchOS 4'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

watchOS 4

Yayınlanma tarihi: 19 Eylül 2017

802.1X

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir saldırgan, TLS 1.0 protokolündeki zayıflıktan yararlanabilir

Açıklama: TLS 1.1 ve TLS 1.2 etkinleştirilerek bir protokol güvenliği sorunu giderildi.

CVE-2017-13832: anonim bir araştırmacı

Giriş eklenme tarihi: 31 Ekim 2017

CFNetwork Proxy'ler

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla servis reddi sorunu giderildi.

CVE-2017-7083: Zscaler Inc. şirketinden Abhinav Bansal

Giriş eklenme tarihi: 25 Eylül 2017

CFString

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-13821: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

Giriş eklenme tarihi: 31 Ekim 2017

CoreAudio

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Opus 1.1.4 sürümüne güncelleme yapılarak, sınırların dışında okuma sorunu giderildi.

CVE-2017-0381: Trend Micro, Mobile Threat Research Team'den V.E.O (@VYSEa)

Giriş eklenme tarihi: 25 Eylül 2017

CoreText

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2017-13825: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

Giriş eklenme tarihi: 31 Ekim 2017

file

İlgili ürünler: Tüm Apple Watch modelleri

Etki: file'da birden fazla sorun

Açıklama: Yazılım 5.31 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2017-13815

Giriş eklenme tarihi: 31 Ekim 2017

Fontlar

İlgili ürünler: Tüm Apple Watch modelleri

Açıklama: Güvenilmeyen metinlerin işlenmesi sahteciliğe yol açabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2017-13828: anonim bir araştırmacı

Giriş eklenme tarihi: 31 Ekim 2017

HFS

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13830: Bochum Ruhr Üniversitesi'nden Sergej Schumilo

Giriş eklenme tarihi: 31 Ekim 2017

ImageIO

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-13814: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

Giriş eklenme tarihi: 31 Ekim 2017

ImageIO

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Disk görüntülerinin işlenmesinde bilgilerin açığa çıkması sorunu vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-13831: anonim bir araştırmacı

Giriş eklenme tarihi: 31 Ekim 2017

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Yerel bir kullanıcı çekirdek belleğini okuyabilir

Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Girdi doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-13817: Maxime Villard (m00nbsd)

Giriş eklenme tarihi: 31 Ekim 2017

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-13818: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

CVE-2017-13836: anonim bir araştırmacı, anonim bir araştırmacı

CVE-2017-13841: anonim bir araştırmacı

CVE-2017-13840: anonim bir araştırmacı

CVE-2017-13842: anonim bir araştırmacı

CVE-2017-13782: anonim bir araştırmacı

Giriş eklenme tarihi: 31 Ekim 2017

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13843: anonim bir araştırmacı, anonim bir araştırmacı

Giriş eklenme tarihi: 31 Ekim 2017

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-7114: MWR InfoSecurity'den Alex Plaskett

Giriş eklenme tarihi: 25 Eylül 2017

libarchive

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-13813: OSS-Fuzz tarafından bulundu

CVE-2017-13816: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 31 Ekim 2017

libarchive

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması rastgele kod yürütülmesine neden olabilir

Açıklama: libarchive'da birden fazla bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorunlar giderildi.

CVE-2017-13812: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 31 Ekim 2017

libc

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Algoritma iyileştirilerek glob()'daki kaynak tükenmesi sorunu giderildi.

CVE-2017-7086: Google'dan Russ Cox

Giriş eklenme tarihi: 25 Eylül 2017

libc

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2017-1000373

Giriş eklenme tarihi: 25 Eylül 2017

libexpat

İlgili ürünler: Tüm Apple Watch modelleri

Etki: expat'te birden fazla sorun

Açıklama: Yazılım 2.2.1 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2016-9063

CVE-2017-9233

Giriş eklenme tarihi: 25 Eylül 2017

Güvenlik

İlgili ürünler: Tüm Apple Watch modelleri

Etki: İptal edilmiş bir sertifikaya güvenilebilir

Açıklama: İptal verilerinin işlenmesinde bir sertifika doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-7080: anonim bir araştırmacı, adesso mobile solutions GmbH şirketinden Sven Driemecker, anonim bir araştırmacı, Bærum kommune'den Rune Darrud (@theflyingcorpse)

Giriş eklenme tarihi: 25 Eylül 2017

SQLite

İlgili ürünler: Tüm Apple Watch modelleri

Etki: SQLite'ta birden fazla sorun

Açıklama: Yazılım 3.19.3 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2017-10989: OSS-Fuzz tarafından bulundu

CVE-2017-7128: OSS-Fuzz tarafından bulundu

CVE-2017-7129: OSS-Fuzz tarafından bulundu

CVE-2017-7130: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 25 Eylül 2017

SQLite

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-7127: anonim bir araştırmacı

Giriş eklenme tarihi: 25 Eylül 2017

Wi-Fi

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Wi-Fi çipinde kötü amaçlı kod yürütülmesi, uygulama işlemcisinde çekirdek ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-7103: Google Project Zero'dan Gal Beniamini

CVE-2017-7105: Google Project Zero'dan Gal Beniamini

CVE-2017-7108: Google Project Zero'dan Gal Beniamini

CVE-2017-7110: Google Project Zero'dan Gal Beniamini

CVE-2017-7112: Google Project Zero'dan Gal Beniamini

Wi-Fi

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Wi-Fi çipinde kötü amaçlı kod yürütülmesi, sınırlanmış çekirdek belleğinin okunmasına neden olabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-7116: Google Project Zero'dan Gal Beniamini

zlib

İlgili ürünler: Tüm Apple Watch modelleri

Etki: zlib'de birden fazla sorun

Açıklama: Yazılım 1.2.11 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Giriş eklenme tarihi: 25 Eylül 2017

Ek teşekkür listesi

Güvenlik

Zscaler Inc. şirketinden Abhinav Bansal'a desteği için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: