watchOS 8.6'nın güvenlik içeriği hakkında
Bu belgede watchOS 8.6'nın güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
watchOS 8.6
AppleAVD
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2022-26702: Anonim bir araştırmacı, Antonio Zekic (@antoniozekic) ve John Aakerblom (@jaakerblom)
AppleAVD
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2022-22675: anonim bir araştırmacı
DriverKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.
CVE-2022-26763: Pinauten GmbH'den (pinauten.de) Linus Henze
ImageIO
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.
CVE-2022-26711: Blacksun Hackers Club'dan actae0n (Trend Micro Zero Day Initiative programıyla)
IOMobileFrameBuffer
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-26768: anonim bir araştırmacı
IOSurfaceAccelerator
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-26771: anonim bir araştırmacı
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-26714: STAR Labs'den (@starlabs_sg) Peter Nguyễn Vũ Hoàng (@peternguyen14)
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2022-26757: Google Project Zero'dan Ned Williamson
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği önlemlerini atlayabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-26764: Pinauten GmbH'den (pinauten.de) Linus Henze
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Rastgele kod okuyup ve yazabilen kötü amaçlı bir saldırgan, İmleç Kimlik Doğrulaması'nı atlayabilir
Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.
CVE-2022-26765: Pinauten GmbH'den (pinauten.de) Linus Henze
LaunchServices
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir
Açıklama: Üçüncü taraf uygulamalara yönelik ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Microsoft'tan Jonathan Bar Or
libresolv
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir saldırgan, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.
CVE-2022-26775: Google Security Team'den Max Shavrick (@_mxms)
libresolv
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir saldırgan, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-26708: Google Security Team'den Max Shavrick (@_mxms)
libresolv
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Uzaktaki bir kullanıcı, servis reddine neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-32790: Google Security Team'den Max Shavrick (@_mxms)
libresolv
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir saldırgan, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-26776: Google Security Team'den Max Shavrick (@_mxms), Crowdstrike'tan Zubair Ashraf
libxml2
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2022-23308
Security
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama imza doğrulamasını atlayabilir
Açıklama: Denetimler iyileştirilerek bir sertifika ayrıştırma sorunu giderildi.
CVE-2022-26766: Pinauten GmbH'den (pinauten.de) Linus Henze
TCC
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir uygulama kullanıcının ekranın görüntüsünü alabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-26726: YCISCQ'dan Antonio Cheong Yu Xuan
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-26700: ryuzaki
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2022-26709: ShuiMuYuLin Ltd ve Tsinghua Wingtecher Lab'den Chijin Zhou
CVE-2022-26710: ShuiMuYuLin Ltd ve Tsinghua Wingtecher Lab'den Chijin Zhou
CVE-2022-26717: Theori'den Jeonghoon Shin
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-26716: Kunlun Lab'den SorryMybad (@S0rryMybad)
CVE-2022-26719: Venustech ADLab ile çalışan Dongzhuo Zhao
Wi-Fi
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleğin açığa çıkmasına neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-26745: Scarlet Raine
Wi-Fi
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleğin açığa çıkmasına neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-26745: Anonim bir araştırmacı
Ek teşekkür listesi
AppleMobileFileIntegrity
SecuRing'den Wojciech Reguła'ya (@_r3ggi) yardımı için teşekkür ederiz.
WebKit
James Lee'ye ve anonim bir araştırmacıya yardımları için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.