watchOS 5.2.1'in güvenlik içeriği hakkında

Bu belgede watchOS 5.2.1'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

watchOS 5.2.1

Yayınlanma tarihi: 13 Mayıs 2019

AppleFileConduit

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8593: Dany Lisiansky (@DanyL931)

CoreAudio

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçla oluşturulmuş bir film dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8585: VulWar Corp'tan riusksk (Trend Micro'nun Zero Day Initiative programıyla)

Disk Görüntüleri

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8560: Bauman Moskova Devlet Teknik Üniversitesi'nden Nikita Pupyshev

Çekirdek

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2019-8605: Ned Williamson (Google Project Zero ile)

Çekirdek

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8576: Google Project Zero'dan Brandon Azad, LINE Security Team'den Junho Jang ve Hanul Choi

Çekirdek

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğini yazabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2019-8591: Ned Williamson (Google Project Zero ile)

Mail

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir mesajın işlenmesi servis reddine yol açabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2019-8626: Google Project Zero'dan Natalie Silvanovich

Mail İleti Çerçevesi

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2019-8613: Google Project Zero'dan Natalie Silvanovich

MobileInstallation

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantıların doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

MobileLockdown

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2019-8637: Dany Lisiansky (@DanyL931)

SQLite

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2019-8577: Checkpoint Research'ten Omer Gull

SQLite

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir SQL sorgusu rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8600: Checkpoint Research'ten Omer Gull

SQLite

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2019-8598: Checkpoint Research'ten Omer Gull

SQLite

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir

Açıklama: Savunmasız kod kaldırılarak bir bellek bozulması sorunu giderildi.

CVE-2019-8602: Checkpoint Research'ten Omer Gull

sysdiagnose

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8574: Seekintoo'dan (@seekintoo) Dayton Pidhirney (@_watbulb)

WebKit

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8607: LINE Security Team'den Junho Jang ve Hanul Choi

WebKit

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2019-8583: Tencent Xuanwu Lab'den sakura, Tencent Keen Lab'den jessica (@babyjess1ca_) ve Venustech ADLab'den dwfault

CVE-2019-8601: Fluoroacetate (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8622: Google Project Zero'dan Samuel Groß

CVE-2019-8623: Google Project Zero'dan Samuel Groß

Wi-Fi

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir cihaz, WiFi MAC adresi aracılığıyla pasif olarak takip edilebilir

Açıklama: MAC yayın adresi kaldırılarak bir kullanıcı gizliliği sorunu giderildi.

CVE-2019-8620: Darmstadt Teknik Üniversitesi'ndeki Secure Mobile Networking Lab'den David Kreitschmann ve Milan Stute

Ek teşekkür listesi

Clang

Google Project Zero'dan Brandon Azad'a yardımı için teşekkür ederiz.

CoreFoundation

Tencent Xuanwu Lab'den Vozzie, Rami, m4bln, Xiangqian Zhang ve Huiming Liu'ya yardımları için teşekkür ederiz.

Çekirdek

Anonim bir araştırmacıya ve Google Project Zero'dan Brandon Azad'a yardımları için teşekkür ederiz.

MediaLibrary

Alibaba Inc. şirketinden Angel Ramirez, Min (Spark) Zheng ve Xiaolong Bai'ye yardımları için teşekkür ederiz.

MobileInstallation

Yiğit Can YILMAZ'a (@yilmazcanyigit) yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: