watchOS 7.1'in güvenlik içeriği hakkında

Bu belgede watchOS 7.1'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

watchOS 7.1

Yayınlanma tarihi: 5 Kasım 2020

Ses

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-27910: Ant Security Light-Year Lab'den JunDong Xie ve XingWei Lin

Ses

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27916: Ant Security Light-Year Lab'den JunDong Xie

CoreAudio

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-10017: Francis (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie

CoreAudio

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-27908: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie ve Xingwei Lin

CVE-2020-27909: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie ve XingWei Lin

Giriş güncellenme tarihi: 16 Mart 2021

CoreText

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-27922: Trend Micro'dan Mickey Jin

Giriş eklenme tarihi: 16 Mart 2021

Çökme Raporlayıcı

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Sembolik bağlantıların yol doğrulama mantığında bir sorun vardı. Yol temizleme işlemi iyileştirilerek bu sorun giderildi.

CVE-2020-10003: Leviathan'dan Tim Michaud (@TimGMichaud)

FontParser

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-27930: Google Project Zero

FontParser

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27927: Ant Security Light-Year Lab'den Xingwei Lin

Foundation

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Yerel bir kullanıcı rastgele dosyaları okuyabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-10002: James Hutchins

ImageIO

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-27924: Lei Sun

Giriş eklenme tarihi: 16 Mart 2021

ImageIO

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27912: Ant Security Light-Year Lab'den Xingwei Lin

CVE-2020-27923: Lei Sun

Giriş güncellenme tarihi: 16 Mart 2021

IOAcceleratorFamily

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-27905: Mohamed Ghannam (@_simo36)

Çekirdek

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, çekirdek belleğini açığa çıkarabilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.

Açıklama: Bir bellek ilklendirme sorunu giderildi.

CVE-2020-27950: Google Project Zero

Çekirdek

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9974: Tommy Muir (@Muirey03)

Çekirdek

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-10016: Alex Helie

Çekirdek

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.

Açıklama: Durumun işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2020-27932: Google Project Zero

libxml2

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-27917: OSS-Fuzz tarafından bulundu

CVE-2020-27920: OSS-Fuzz tarafından bulundu

Giriş güncellenme tarihi: 16 Mart 2021

libxml2

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2020-27911: OSS-Fuzz tarafından bulundu

Günlük

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2020-10010: Tommy Muir (@Muirey03)

Bulgu Çerçevesi

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-27899: ZecOps'tan 08Tc3wBB

Giriş eklenme tarihi: 15 Aralık 2020

WebKit

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-27918: Ant Security Light-Year Lab'den Liu Long

Giriş güncellenme tarihi: 16 Mart 2021

XNU

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Mantık iyileştirilerek birden fazla sorun giderildi.

CVE-2020-27935: Lior Halphon (@LIJI32)

Giriş eklenme tarihi: 15 Aralık 2020

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: