watchOS 8.6'nın güvenlik içeriği hakkında

Bu belgede watchOS 8.6'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

watchOS 8.6

AppleAVD

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2022-26702: Anonim bir araştırmacı, Antonio Zekic (@antoniozekic) ve John Aakerblom (@jaakerblom)

AppleAVD

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2022-22675: anonim bir araştırmacı

DriverKit

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2022-26763: Pinauten GmbH'den (pinauten.de) Linus Henze

ImageIO

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2022-26711: Blacksun Hackers Club'dan actae0n (Trend Micro Zero Day Initiative programıyla)

IOMobileFrameBuffer

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-26768: anonim bir araştırmacı

IOSurfaceAccelerator

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-26771: anonim bir araştırmacı

Kernel

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-26714: STAR Labs'den (@starlabs_sg) Peter Nguyễn Vũ Hoàng (@peternguyen14)

Kernel

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2022-26757: Google Project Zero'dan Ned Williamson

Kernel

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği önlemlerini atlayabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-26764: Pinauten GmbH'den (pinauten.de) Linus Henze

Kernel

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Rastgele kod okuyup ve yazabilen kötü amaçlı bir saldırgan, İmleç Kimlik Doğrulaması'nı atlayabilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2022-26765: Pinauten GmbH'den (pinauten.de) Linus Henze

LaunchServices

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Üçüncü taraf uygulamalara yönelik ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Microsoft'tan Jonathan Bar Or

libresolv

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir saldırgan, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2022-26775: Google Security Team'den Max Shavrick (@_mxms)

libresolv

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir saldırgan, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-26708: Google Security Team'den Max Shavrick (@_mxms)

libresolv

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Uzaktaki bir kullanıcı, servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-32790: Google Security Team'den Max Shavrick (@_mxms)

libresolv

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir saldırgan, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-26776: Google Security Team'den Max Shavrick (@_mxms), Crowdstrike'tan Zubair Ashraf

libxml2

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2022-23308

Security

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama imza doğrulamasını atlayabilir

Açıklama: Denetimler iyileştirilerek bir sertifika ayrıştırma sorunu giderildi.

CVE-2022-26766: Pinauten GmbH'den (pinauten.de) Linus Henze

TCC

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Bir uygulama kullanıcının ekranın görüntüsünü alabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-26726: YCISCQ'dan Antonio Cheong Yu Xuan

WebKit

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-26700: ryuzaki

WebKit

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2022-26709: ShuiMuYuLin Ltd ve Tsinghua Wingtecher Lab'den Chijin Zhou

CVE-2022-26710: ShuiMuYuLin Ltd ve Tsinghua Wingtecher Lab'den Chijin Zhou

CVE-2022-26717: Theori'den Jeonghoon Shin

WebKit

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-26716: Kunlun Lab'den SorryMybad (@S0rryMybad)

CVE-2022-26719: Venustech ADLab ile çalışan Dongzhuo Zhao

Wi-Fi

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleğin açığa çıkmasına neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-26745: Scarlet Raine

Wi-Fi

İlgili ürünler: Apple Watch Series 3 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleğin açığa çıkmasına neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-26745: Anonim bir araştırmacı

Ek teşekkür listesi

AppleMobileFileIntegrity

SecuRing'den Wojciech Reguła'ya (@_r3ggi) yardımı için teşekkür ederiz.

WebKit

James Lee'ye ve anonim bir araştırmacıya yardımları için teşekkür ederiz.