watchOS 5.3'ün güvenlik içeriği hakkında
Bu belgede watchOS 5.3'ün güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
watchOS 5.3
Bluetooth
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, Bluetooth trafiğini ele geçirebilir (Key Negotiation of Bluetooth - KNOB)
Açıklama: Bluetooth'ta bir giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2019-9506: SUTD'den (Singapur) Daniele Antonioli, CISPA'dan (Almanya) Dr. Nils Ole Tippenhauer ve Oxford Üniversitesinden (İngiltere) Prof. Kasper Rasmussen
Bu sorunla ilgili olarak yapılan değişiklikler CVE-2020-10135 numaralı sorunu hafifletir.
Core Data
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8646: Google Project Zero'dan natashenka
Core Data
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2019-8647: Google Project Zero'dan Samuel Groß ve natashenka
Core Data
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8660: Google Project Zero'dan Samuel Groß ve natashenka
Digital Touch
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8624: Google Project Zero'dan natashenka
FaceTime
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8648: Team Pangu'dan Tao Huang ve Tielei Wang
Heimdal
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Samba'da, saldırganların servisler arasındaki iletişimi ele geçirerek yetkisiz işlemler gerçekleştirmesine izin verebilen bir sorun vardı
Açıklama: Yetkisiz işlemlerin önlenmesine yönelik denetimler iyileştirilerek bu sorun giderildi.
CVE-2018-16860: Samba Ekibi ve Catalyst'ten Isaac Boukris ve Andrew Bartlett
Görüntü İşleme
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.
CVE-2019-8668: anonim bir araştırmacı
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2019-8633: Qihoo 360 Vulcan Team'den Zhuo Liang
libxslt
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan hassas bilgileri görebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek yığın taşması sorunu giderildi.
CVE-2019-13118: OSS-Fuzz tarafından bulundu
Mesajlar
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir iMessage yazışmasından kaldırılan kullanıcılar, durumu değiştirmeye devam edebilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2019-8659: Ryan Kontos (@ryanjkontos) ve Oregon Üniversitesinden Will Christensen
Mesajlar
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.
CVE-2019-8665: XYZ Marketing'den Michael Hernandez
Göz At
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir saldırgan, güvenilir olmayan bir NSDictionary'yi seri durumdan çıkararak bir uygulamada boşaltılan belleğin kullanılmasını tetikleyebilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2019-8662: Google Project Zero'dan natashenka ve Samuel Groß
Siri
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8646: Google Project Zero'dan natashenka
UIFoundation
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir Office belgesinin ayrıştırılması, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8657: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
Wallet
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir kullanıcı, kilitli ekrandayken yanlışlıkla uygulama içi satın alma işlemi gerçekleştirebilir
Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.
CVE-2019-8682: Jeff Braswell (JeffBraswell.com)
WebKit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8658: akayn (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2019-8669: akayn (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8672: Google Project Zero'dan Samuel Groß
CVE-2019-8676: Georgia Tech'teki SSLab'den Soyeon Park ve Wen Xu
CVE-2019-8683: Google Project Zero'dan lokihardt
CVE-2019-8684: Google Project Zero'dan lokihardt
CVE-2019-8685: akayn, Venustech ADLab ile çalışan Dongzhuo Zhao, VXRL'den Ken Wong (@wwkenwong), VXRL'den Anthony Lai (@darkfloyd1014) ve VXRL'den Eric Lung (@Khlung1)
CVE-2019-8688: Georgia Tech'teki SSLab'den Insu Yun
CVE-2019-8689: Google Project Zero'dan lokihardt
Ek teşekkür listesi
MobileInstallation
Dany Lisiansky'ye (@DanyL931) yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.