watchOS 7.1'in güvenlik içeriği hakkında
Bu belgede watchOS 7.1'in güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
watchOS 7.1
Ses
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-27910: Ant Security Light-Year Lab'den JunDong Xie ve XingWei Lin
Ses
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-27916: Ant Security Light-Year Lab'den JunDong Xie
CoreAudio
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-10017: Francis (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie
CoreAudio
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-27908: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie ve Xingwei Lin
CVE-2020-27909: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie ve XingWei Lin
CoreText
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-27922: Trend Micro'dan Mickey Jin
Çökme Raporlayıcı
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: Sembolik bağlantıların yol doğrulama mantığında bir sorun vardı. Yol temizleme işlemi iyileştirilerek bu sorun giderildi.
CVE-2020-10003: Leviathan'dan Tim Michaud (@TimGMichaud)
FontParser
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-27930: Google Project Zero
FontParser
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-27927: Ant Security Light-Year Lab'den Xingwei Lin
Foundation
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Yerel bir kullanıcı rastgele dosyaları okuyabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-10002: James Hutchins
ImageIO
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-27924: Lei Sun
ImageIO
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-27912: Ant Security Light-Year Lab'den Xingwei Lin
CVE-2020-27923: Lei Sun
IOAcceleratorFamily
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-27905: Mohamed Ghannam (@_simo36)
Çekirdek
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, çekirdek belleğini açığa çıkarabilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.
Açıklama: Bir bellek ilklendirme sorunu giderildi.
CVE-2020-27950: Google Project Zero
Çekirdek
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9974: Tommy Muir (@Muirey03)
Çekirdek
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-10016: Alex Helie
Çekirdek
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.
Açıklama: Durumun işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2020-27932: Google Project Zero
libxml2
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-27917: OSS-Fuzz tarafından bulundu
CVE-2020-27920: OSS-Fuzz tarafından bulundu
libxml2
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.
CVE-2020-27911: OSS-Fuzz tarafından bulundu
Günlük
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.
CVE-2020-10010: Tommy Muir (@Muirey03)
Bulgu Çerçevesi
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-27899: ZecOps'tan 08Tc3wBB
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-27918: Ant Security Light-Year Lab'den Liu Long
XNU
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir
Açıklama: Mantık iyileştirilerek birden fazla sorun giderildi.
CVE-2020-27935: Lior Halphon (@LIJI32)
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.