Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
watchOS 5.2.1
Yayınlanma tarihi: 13 Mayıs 2019
AppleFileConduit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
CoreAudio
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçla oluşturulmuş bir film dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8585: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
CoreAudio
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Hata işleme iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8592: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
Giriş eklenme tarihi: 1 Ağustos 2019
Disk Görüntüleri
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2019-8560: Bauman Moskova Devlet Teknik Üniversitesi'nden Nikita Pupyshev
Giriş güncellenme tarihi: 30 Mayıs 2019
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2019-8605: Google Project Zero'dan Ned Williamson
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8576: Google Project Zero'dan Brandon Azad, LINE Security Team'den Junho Jang ve Hanul Choi
Giriş güncellenme tarihi: 30 Mayıs 2019
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğini yazabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2019-8591: Ned Williamson (Google Project Zero ile)
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir mesajın işlenmesi servis reddine yol açabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8626: Google Project Zero'dan Natalie Silvanovich
Mail İleti Çerçevesi
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2019-8613: Google Project Zero'dan Natalie Silvanovich
Mesajlar
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir mesajın işlenmesi servis reddine yol açabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8664: Google Project Zero'dan Natalie Silvanovich
Giriş eklenme tarihi: 1 Ağustos 2019
Mesajlar
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan, sistemde servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8573: Google Project Zero'dan Natalie Silvanovich
Giriş eklenme tarihi: 3 Temmuz 2019
Mesajlar
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir mesajın işlenmesi servis reddine yol açabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8664: Google Project Zero'dan Natalie Silvanovich
Giriş eklenme tarihi: 3 Temmuz 2019
MobileInstallation
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
SQLite
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8577: Checkpoint Research'ten Omer Gull
SQLite
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir SQL sorgusu rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8600: Checkpoint Research'ten Omer Gull
SQLite
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8598: Checkpoint Research'ten Omer Gull
SQLite
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir
Açıklama: Savunmasız kod kaldırılarak bir bellek bozulması sorunu giderildi.
CVE-2019-8602: Checkpoint Research'ten Omer Gull
sysdiagnose
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8574: Seekintoo'dan (@seekintoo) Dayton Pidhirney (@_watbulb)
WebKit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8607: LINE Security Team'den Junho Jang ve Hanul Choi
WebKit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2019-8583: Tencent Xuanwu Lab'den sakura, Tencent Keen Lab'den jessica (@babyjess1ca_) ve Venustech ADLab'den dwfault
CVE-2019-8601: Fluoroacetate (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8622: Google Project Zero'dan Samuel Groß
CVE-2019-8623: Google Project Zero'dan Samuel Groß
Wi-Fi
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, sürücü durumunu değiştirebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8612: Darmstadt Teknik Üniversitesi'ndeki Secure Mobile Networking Lab'den Milan Stute
Giriş eklenme tarihi: 30 Mayıs 2019
Wi-Fi
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir cihaz, WiFi MAC adresi aracılığıyla pasif olarak takip edilebilir
Açıklama: MAC yayın adresi kaldırılarak bir kullanıcı gizliliği sorunu giderildi.
CVE-2019-8620: Darmstadt Teknik Üniversitesi'ndeki Secure Mobile Networking Lab'den David Kreitschmann ve Milan Stute
Ek teşekkür listesi
Clang
Google Project Zero'dan Brandon Azad'a yardımı için teşekkür ederiz.
CoreAudio
VulWar Corp şirketinden riusksk'e (Trend Micro'nun Zero Day Initiative programıyla) yardımıyla teşekkür ederiz.
Giriş eklenme tarihi: 25 Temmuz 2019
CoreFoundation
Tencent Xuanwu Lab'den Vozzie, Rami, m4bln, Xiangqian Zhang ve Huiming Liu'ya yardımları için teşekkür ederiz.
Çekirdek
Anonim bir araştırmacıya ve Google Project Zero'dan Brandon Azad'a yardımları için teşekkür ederiz.
MediaLibrary
Alibaba Inc. şirketinden Angel Ramirez, Min (Spark) Zheng ve Xiaolong Bai'ye yardımları için teşekkür ederiz.
MobileInstallation
Yiğit Can YILMAZ'a (@yilmazcanyigit) yardımı için teşekkür ederiz.