watchOS 4.3'ün güvenlik içeriği hakkında

Bu belgede watchOS 4.3'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarını kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

watchOS 4.3

Yayınlanma tarihi: 29 Mart 2018

CoreFoundation

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi servis reddine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2018-4142: Google Switzerland GmbH şirketinden Robin Leroy

Giriş güncellenme tarihi: 16 Kasım 2018

Dosya Sistemi Etkinlikleri

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4167: Samuel Groß (@5aelo)

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2018-4150: anonim bir araştırmacı

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4104: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4143: derrek (@derrekr6)

Çekirdek

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir

Açıklama: Program durumu geçişinde bilgilerin açığa çıkması sorunu vardı. Durumun işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2018-4185: Brandon Azad

Giriş eklenme tarihi: 19 Temmuz 2018

libxml2

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi Safari'nin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-15412: Nick Wellnhofer

Giriş eklenme tarihi: 18 Ekim 2018

LinkPresentation

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2018-4390: The City School, PAF Chapter'dan Rayyan Bijoora (@Bijoora)

CVE-2018-4391: The City School, PAF Chapter'dan Rayyan Bijoora (@Bijoora)

Giriş eklenme tarihi: 30 Ekim 2018, giriş güncellenme tarihi: 16 Kasım 2018

NSURLSession

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4166: Samuel Groß (@5aelo)

Göz At

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4157: Samuel Groß (@5aelo)

Güvenlik

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

Sistem Tercihleri

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Bir konfigürasyon profili, kaldırıldıktan sonra hatalı şekilde etkin kalabilir

Açıklama: CFPreferences'da bir sorun vardı. Tercih temizleme işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4115: Wandera'dan Johann Thalakada, Vladimir Zubkov ve Matt Vlasach

Giriş güncellenme tarihi: 16 Kasım 2018

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Dizinleme türleriyle beklenmedik şekilde kurulan etkileşimler ASSERT hatasına neden oluyor

Açıklama: JavaScriptCore'daki bir işlevin işlenmesinde bir dize dizinleme (array indexing) sorunu vardı. Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4113: OSS-Fuzz tarafından bulundu

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4146: OSS-Fuzz tarafından bulundu

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2018-4114: OSS-Fuzz tarafından bulundu

CVE-2018-4121: Google Project Zero'dan natashenka

CVE-2018-4122: WanderingGlitch (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4125: WanderingGlitch (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4129: Baidu Security Lab'den likemeng (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4161: WanderingGlitch (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4162: WanderingGlitch (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4163: WanderingGlitch (Trend Micro'nun Zero Day Initiative programıyla)

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir

Açıklama: Fetch API'sinde kaynaklar arası veri sızdırma sorunu (cross-origin issue) vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4117: anonim bir araştırmacı, anonim bir araştırmacı

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Beklenmeyen etkileşimler ASSERT hatasına neden oluyor

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4207: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 2 Mayıs 2018

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Beklenmeyen etkileşimler ASSERT hatasına neden oluyor

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4208: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 2 Mayıs 2018

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Beklenmeyen etkileşimler ASSERT hatasına neden oluyor

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4209: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 2 Mayıs 2018

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Dizinleme türleriyle beklenmedik şekilde kurulan etkileşimler bir hataya neden oluyordu

Açıklama: JavaScriptCore'daki bir işlevin işlenmesinde bir dize dizinleme (array indexing) sorunu vardı. Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4210: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 2 Mayıs 2018

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Beklenmeyen etkileşimler ASSERT hatasına neden oluyor

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4212: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 2 Mayıs 2018

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Beklenmeyen etkileşimler ASSERT hatasına neden oluyor

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4213: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 2 Mayıs 2018

WebKit

İlgili ürünler: Tüm Apple Watch modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2018-4145: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 18 Ekim 2018

Ek teşekkür listesi

Mail

Wire Swiss GmbH şirketinden Sabri Haddouche'a (@pwnsdx) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 21 Haziran 2018

Güvenlik

Abraham Masri'ye (@cheesecakeufo) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 13 Nisan 2018

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: