watchOS 6.1.2'nin güvenlik içeriği hakkında

Bu belgede watchOS 6.1.2'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

watchOS 6.1.2

AnnotationKit

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3877: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)

Audio

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3857: Qihoo 360 Vulcan Team'den Zhuo Liang

files

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2020-3855: Csaba Fitzl (@theevilbit)

ImageIO

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3826: Google Project Zero'dan Samuel Groß

CVE-2020-3870

CVE-2020-3878: Google Project Zero'dan Samuel Groß

CVE-2020-3880: Google Project Zero'dan Samuel Groß

IOAcceleratorFamily

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3837: Google Project Zero'dan Brandon Azad

IOUSBDeviceFamily

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8836: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng, Bloomington Indiana Üniversitesinden Luyi Xing

Giriş eklenme tarihi: 22 Haziran 2020

Kernel

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2020-3875: Google Project Zero'dan Brandon Azad

Kernel

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

Açıklama: Bellek yönetimi iyileştirilerek bir erişim sorunu giderildi.

CVE-2020-3836: Google Project Zero'dan Brandon Azad

Kernel

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2020-3872: Cognite'tan Haakon Garseg Mørk ve Cim Stordal

Kernel

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3842: Ned Williamson (Google Project Zero ile)

Kernel

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3834: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng, Bloomington Indiana Üniversitesinden Luyi Xing

Kernel

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3860: Qihoo 360 Nirvan Team'den Proteas

Kernel

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2020-3853: Google Project Zero'dan Brandon Azad

libxml2

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2020-3846: Ranier Vilela

libxpc

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3856: Google Project Zero'dan Ian Beer

libxpc

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3829: Google Project Zero'dan Ian Beer

wifivelocityd

İlgili ürünler: Apple Watch Series 1 ve sonraki modeller

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Ek teşekkür listesi

IOSurface

Liang Chen'e (@chenliang0817) yardımı için teşekkür ederiz.