watchOS 6.2.5'in güvenlik içeriği hakkında
Bu belgede watchOS 6.2.5'in güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
watchOS 6.2.5
Hesaplar
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.
CVE-2020-9827: Darmstadt Teknik Üniversitesindeki SEEMOO'dan Jannik Lorenz
AppleMobileFileIntegrity
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama özel bilgilere erişmek ve ayrıcalıklı eylemler gerçekleştirmek için sistem işlemleriyle etkileşime girebilir
Açıklama: Ayrıştırma işlemi iyileştirilerek bir hak ayrıştırma sorunu giderildi.
CVE-2020-9842: Linus Henze (pinauten.de)
Ses
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-9815: Yu Zhou (@yuzhou6666) (Trend Micro'nun Zero Day Initiative programıyla)
Ses
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-9791: Yu Zhou (@yuzhou6666) (Trend Micro'nun Zero Day Initiative programıyla)
CoreText
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi uygulamada servis reddine neden olabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2020-9829: Aaron Perris (@aaronp613), anonim bir araştırmacı, anonim bir araştırmacı, Carlos S Tech, Sam's Lounge'dan Sam Menzies, Hindistan'daki Lovely Professional University'den Sufiyan Gouri, Arabic-Classroom.com'dan Suleman Hasan Rathor
FontParser
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-9816: STAR Labs'den Peter Nguyen Vu Hoang (Trend Micro'nun Zero Day Initiative programıyla)
ImageIO
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-3878: Google Project Zero'dan Samuel Groß
ImageIO
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-9789: VARAS@IIE şirketinden Wenchao Li
CVE-2020-9790: Ant-financial Light-Year Security Lab'den Xingwei Lin
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-9821: Pangu Lab'den Xinru Chi ve Tielei Wang
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama başka bir uygulamanın bellek yerleşimini belirleyebilir
Açıklama: Savunmasız kod kaldırılarak, bilgilerin açığa çıkması sorunu giderildi.
CVE-2020-9797: anonim bir araştırmacı
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.
CVE-2020-9852: Pangu Lab'den Tao Huang ve Tielei Wang
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-9795: Qihoo 360 Vulcan Team'den Zhuo Liang
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-9808: Pangu Lab'den Xinru Chi ve Tielei Wang
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Yerel bir kullanıcı çekirdek belleğini okuyabilir
Açıklama: Durum yönetimi iyileştirilerek bilgilerin açığa çıkması sorunu giderildi.
CVE-2020-9811: Pangu Lab'den Tielei Wang
CVE-2020-9812: derrek (@derrekr6)
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek bozulmasına neden olan bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2020-9813: Pangu Lab'den Xinru Chi
CVE-2020-9814: Pangu Lab'den Xinru Chi ve Tielei Wang
Çekirdek
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir
Açıklama: Durum yönetimi iyileştirilerek bilgilerin açığa çıkması sorunu giderildi.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.
CVE-2020-9994: Apple
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir posta iletisini işlemek yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.
CVE-2020-9819: ZecOps.com
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir posta iletisini işlemek bellekte beklenmeyen değişikliklere veya uygulamanın sonlandırılmasına neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-9818: ZecOps.com
rsync
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan mevcut dosyaların üzerine yazabilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2014-9512: gaojianfeng
SQLite
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama servis reddine veya bellek içeriğinin açığa çıkmasına neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-9794
Sistem Tercihleri
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Durum yönetimi iyileştirilerek bir yarış durumu giderildi.
CVE-2020-9839: @SSLab_Gatech'ten @jinmo123, @setuid0x0_ ve @insu_yun_en (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9805: anonim bir araştırmacı
WebKit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9802: Google Project Zero'dan Samuel Groß
WebKit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9850: @SSLab_Gatech'ten @jinmo123, @setuid0x0_ ve @insu_yun_en (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-9803: Georgia Tech'teki SSLab'den Wen Xu
WebKit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-9806: Georgia Tech'teki SSLab'den Wen Xu
CVE-2020-9807: Georgia Tech'teki SSLab'den Wen Xu
WebKit
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2020-9800: Brendan Draper (@6r3nd4n) (Trend Micro'nun Zero Day Initiative programıyla)
WebRTC
İlgili ürünler: Apple Watch Series 1 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek bir erişim sorunu giderildi.
CVE-2019-20503: Google Project Zero'dan natashenka
Ek teşekkür listesi
CoreText
Secure Mobile Networking Lab'den Jiska Classen (@naehrdine) ve Dennis Heinze'a (@ttdennis) yardımları için teşekkür ederiz.
ImageIO
Lei Sun'a yardımı için teşekkür ederiz.
IOHIDFamily
NCC Group'tan Andy Davis'e yardımı için teşekkür ederiz.
Çekirdek
Google Project Zero'dan Brandon Azad'a yardımı için teşekkür ederiz.
Safari
Manchester Metropolitan Üniversitesinden Luke Walker'a yardımı için teşekkür ederiz.
WebKit
UT Austin'den Aidan Dunlap'a yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.