Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
watchOS 9.4
Yayınlanma tarihi: 27 Mart 2023
AppleMobileFileIntegrity
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir kullanıcı, dosya sisteminin korumalı bölümlerine erişebilir
Açıklama: Denetimler iyileştirilerek sorun giderildi.
CVE-2023-23527: Mickey Jin (@patch1t)
Calendar
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir takvim davetini içe aktarmak kullanıcı bilgilerini sızdırabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek birden fazla doğrulama sorunu giderildi.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Korumalı alandaki bir uygulama, o anda kamerayı hangi uygulamanın kullandığını belirleyebilir
Açıklama: Uygulama durumlarının gözlemlenebilirliğine ek sınırlamalar getirilerek sorun giderildi.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
Giriş eklenme tarihi: 8 Haziran 2023
CoreCapture
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-28181: Tsinghua Üniversitesi'nden Tingting Yin
Find My
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, gizli konum bilgilerini okuyabilir
Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.
CVE-2023-23537: Adam M.
CVE-2023-28195: Adam M.
Giriş güncellenme tarihi: 21 Aralık 2023
FontParser
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-27956: Baidu Security'den Ye Zhang
Foundation
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir plist dosyasının ayrıştırılması, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.
CVE-2023-27937: anonim bir araştırmacı
Identity Services
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, kullanıcıların kişileriyle ilgili bilgilere erişebilir
Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.
CVE-2023-27928: Offensive Security'den Csaba Fitzl (@theevilbit)
ImageIO
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-23535: ryuzaki
ImageIO
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2023-27929: Mbition Mercedes-Benz Innovation Lab'den Meysam Firouzi (@R00tkitSMM) ve jzhu (Trend Micro'nun Zero Day Initiative programıyla)
ImageIO
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir görüntünün işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: Trend Micro Zero Day Initiative ile birlikte çalışan jzhu ve Mbition Mercedes-Benz Innovation Lab'den Meysam Firouzi (@R00tkitSMM)
Giriş eklenme tarihi: 21 Aralık 2023
Kernel
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.
CVE-2023-23536: Félix Poulin-Bélanger ve David Pan Ogea
Giriş eklenme tarihi: 8 Haziran 2023, güncellenme tarihi: 21 Aralık 2023
Kernel
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2023-27969: ASU SEFCOM'dan Adam Doupé
Kernel
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kök ayrıcalıklarına sahip bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-27933: sqrtpwn
Kernel
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.
CVE-2023-28185: STAR Labs SG Pte. Ltd. şirketinden Pan ZhenPeng
Giriş eklenme tarihi: 21 Aralık 2023
Kernel
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği önlemlerini atlayabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-32424: Zhejiang Üniversitesinden Zechao Cai (@Zech4o)
Giriş eklenme tarihi: 21 Aralık 2023
Podcasts
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Denetimler iyileştirilerek sorun giderildi.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Giriş eklenme tarihi: 8 Haziran 2023
Shortcuts
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir kestirme, belirli eylemler gerçekleştirilirken kullanıcıya sormadan hassas verileri kullanabilir
Açıklama: Ek izin denetimleriyle bu sorun giderildi.
CVE-2023-27963: TRS Group Of Companies'den Jubaer Alnazi Jabin ile Alibaba Group'tan Wenchao Li ve Xiaolong Bai
TCC
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, Aynı Kaynak Politikası'nın atlanmasına neden olabilir
Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.
WebKit Bugzilla: 248615
CVE-2023-27932: anonim bir araştırmacı
WebKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir web sitesi hassas kullanıcı bilgilerini izleyebilir
Açıklama: Kaynak bilgileri kaldırılarak bu sorun giderildi.
WebKit Bugzilla: 250837
CVE-2023-27954: anonim bir araştırmacı
Ek teşekkür listesi
Activation Lock
Christian Mina'ya yardımı için teşekkür ederiz.
CFNetwork
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
CoreServices
Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.
ImageIO
Meysam Firouzi'ye (@R00tkitSMM) yardımı için teşekkür ederiz.
Chen Zhang'e, FH Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Fabian Ising'e, FH Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Damian Poddebniak'a, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Tobias Kappert'a, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Christoph Saatjohann'a, Sebast'a ve CISPA Helmholtz Center for Information Security'den Merlin Chlosta'ya yardımları için teşekkür ederiz.
Safari Downloads
Andrew Gonzalez'e yardımı için teşekkür ederiz.
WebKit
Anonim bir araştırmacıya yardımı için teşekkür ederiz.