watchOS 5.2.1'in güvenlik içeriği hakkında
Bu belgede watchOS 5.2.1'in güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
watchOS 5.2.1
AppleFileConduit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
CoreAudio
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçla oluşturulmuş bir film dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8585: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
CoreAudio
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Hata işleme iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8592: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
Disk Görüntüleri
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2019-8560: Bauman Moskova Devlet Teknik Üniversitesinden Nikita Pupyshev
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2019-8605: Google Project Zero'dan Ned Williamson
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8576: Google Project Zero'dan Brandon Azad, LINE Security Team'den Junho Jang ve Hanul Choi
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2019-8591: Ned Williamson (Google Project Zero ile)
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir iletinin işlenmesi servis reddine yol açabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8626: Google Project Zero'dan natashenka
Mail İleti Çerçevesi
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2019-8613: Google Project Zero'dan natashenka
Mesajlar
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir iletinin işlenmesi servis reddine yol açabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8664: Google Project Zero'dan natashenka
Mesajlar
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan, sistemde servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8573: Google Project Zero'dan natashenka
Mesajlar
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir iletinin işlenmesi servis reddine yol açabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8664: Google Project Zero'dan natashenka
MobileInstallation
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
SQLite
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8577: Checkpoint Research'ten Omer Gull
SQLite
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir SQL sorgusu rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8600: Checkpoint Research'ten Omer Gull
SQLite
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8598: Checkpoint Research'ten Omer Gull
SQLite
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir
Açıklama: Savunmasız kod kaldırılarak bir bellek bozulması sorunu giderildi.
CVE-2019-8602: Checkpoint Research'ten Omer Gull
sysdiagnose
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2019-8574: Seekintoo'dan (@seekintoo) Dayton Pidhirney (@_watbulb)
WebKit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8607: LINE Security Team'den Junho Jang ve Hanul Choi
WebKit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2019-8583: Tencent Xuanwu Lab'den sakura, Tencent Keen Lab'den jessica (@babyjess1ca_) ve Venustech ADLab'den dwfault
CVE-2019-8601: Fluoroacetate (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8622: Google Project Zero'dan Samuel Groß
CVE-2019-8623: Google Project Zero'dan Samuel Groß
Wi-Fi
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, sürücü durumunu değiştirebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8612: Darmstadt Teknik Üniversitesindeki Secure Mobile Networking Lab'den Milan Stute
Wi-Fi
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir aygıt, Wi-Fi MAC adresi aracılığıyla pasif olarak izlenebilir
Açıklama: MAC yayın adresi kaldırılarak bir kullanıcı gizliliği sorunu giderildi.
CVE-2019-8620: Darmstadt Teknik Üniversitesindeki Secure Mobile Networking Lab'den David Kreitschmann ve Milan Stute
Ek teşekkür listesi
Clang
Google Project Zero'dan Brandon Azad'a yardımı için teşekkür ederiz.
CoreAudio
VulWar Corp şirketinden riusksk'e (Trend Micro'nun Zero Day Initiative programıyla) yardımıyla teşekkür ederiz.
CoreFoundation
Tencent Xuanwu Lab'den Vozzie, Rami, m4bln, Xiangqian Zhang ve Huiming Liu'ya yardımları için teşekkür ederiz.
Çekirdek
Anonim bir araştırmacıya ve Google Project Zero'dan Brandon Azad'a yardımları için teşekkür ederiz.
MediaLibrary
Alibaba Inc. şirketinden Angel Ramirez, Min (Spark) Zheng ve Xiaolong Bai'ye yardımları için teşekkür ederiz.
MobileInstallation
Yiğit Can YILMAZ'a (@yilmazcanyigit) yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.