watchOS 10'un güvenlik içeriği hakkında

Bu belgede watchOS 10'un güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

watchOS 10

Yayınlanma tarihi: 18 Eylül 2023

App Store

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Uzaktaki bir saldırgan Web İçeriği korumalı alanını ihlal edebilir

Açıklama: Protokollerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40448: w0wbox

Apple Neural Engine

Apple Neural Engine'e sahip ilgili ürünler: Apple Watch Series 9 ve Apple Watch Ultra 2

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-41174: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Baidu Security'den Ye Zhang (@VAR10CK)

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Apple Neural Engine'e sahip ilgili ürünler: Apple Watch Series 9 ve Apple Watch Ultra 2

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-41071: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Apple Neural Engine'e sahip ilgili ürünler: Apple Watch Series 9 ve Apple Watch Ultra 2

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Apple Neural Engine'e sahip ilgili ürünler: Apple Watch Series 9 ve Apple Watch Ultra 2

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-40410: Moveworks.ai'den Tim Michaud (@TimGMichaud)

AuthKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32361: Offensive Security'den Csaba Fitzl (@theevilbit)

Bluetooth

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Fiziksel olarak yakında bulunan bir saldırgan kısıtlı bir sınırların dışında yazmaya neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-35984: zer0k

bootp

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Uygulamalar, gizli konum bilgilerini okuyabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-41065: Adam M., Noah Roskin-Frazee ve Profesör Jason Lau (ZeroClicks.ai Lab)

CFNetwork

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, Uygulama Taşıma Güvenliği'ni zorunlu kılamayabilir

Açıklama: Protokollerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-38596: Trail of Bits'ten Will Brattain

CoreAnimation

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40420: Cross Republic'ten 이준성 (Junsung Lee)

Dev Tools

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-32396: Mickey Jin (@patch1t)

Game Center

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, kişilere erişebilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40395: Offensive Security'den Csaba Fitzl (@theevilbit)

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği önlemlerini atlayabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41981: Pinauten GmbH'den (pinauten.de) Linus Henze

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41984: STAR Labs SG Pte. Ltd. şirketinden Pan ZhenPeng (@Peterpan0927)

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Doğrulama işlemi iyileştirilerek izin sorunu giderildi.

CVE-2023-40429: Michael (Biscuit) Thomas ve 张师傅(@京东蓝军)

libpcap

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Uzaktaki bir kullanıcı, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-40400: Sei K.

libxpc

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, izni olmayan dosyaları silebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2023-40454: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09)

libxpc

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2023-41073: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09)

libxslt

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40403: PK Security'den Dohyun Lee (@l33d0hyun)

Maps

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Uygulamalar, gizli konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40427: SecuRing'den Adam M. ve Wojciech Regula (wojciechregula.blog)

MobileStorageMounter

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir kullanıcı ayrıcalıkları yükseltebilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2023-41068: Mickey Jin (@patch1t)

Passcode

İlgili sürümler: Apple Watch Ultra (tüm modeller)

Etki: Apple Watch Ultra, Depth uygulaması kullanılırken kilitlenmeyebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2023-40418: Serkan Gurbuz

Photos Storage

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, geçici bir dizine kaydedilmiş düzenlenmiş fotoğraflara erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-40456: Kirin (@Pwnrin)

CVE-2023-40520: Kirin (@Pwnrin)

Safari

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, kullanıcının yüklediği diğer uygulamaları belirleyebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-35990: Sentry Cybersecurity'den Adriatik Raci

Safari

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlı içerikler barındıran bir web sitesinin ziyaret edilmesi, kullanıcı arabirimi sahteciliğine (UI spoofing) neden olabilir

Açıklama: Durum yönetimi iyileştirilerek pencere yönetimi sorunu giderildi.

CVE-2023-40417: Suma Soft Pvt. Ltd. şirketinden Narendra Bhati.

Sandbox

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, rastgele dosyaların üzerine yazabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, kullanıcılar bağlantı paylaştığında günlüğe kaydedilen hassas verilere erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-41070: Kirin (@Pwnrin)

Simulator

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-40419: Arsenii Kostromin (0x3c3e)

StorageKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, rastgele dosyaları okuyabilir

Açıklama: Sembolik bağlantıların doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2023-41968: Mickey Jin (@patch1t) ve James Hutchins

TCC

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-40424: Offensive Security'den Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) ve Csaba Fitzl (@theevilbit)

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

WebKit Bugzilla: 249451
CVE-2023-39434: PK Security'den Francisco Alonso (@revskills) ve Dohyun Lee (@l33d0hyun)

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

WebKit Bugzilla: 256551
CVE-2023-41074: me Li ve Cross Republic'ten 이준성 (Junsung Lee)

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 239758
CVE-2023-35074: Abysslab Dong Jun Kim(@smlijun) ve Jong Seong Kim(@nevul37)

 


Ek teşekkür listesi

Airport

Adam M., Noah Roskin-Frazee ve Profesör Jason Lau'ya (ZeroClicks.ai Lab) yardımları için teşekkür ederiz.

Audio

Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.

Bluetooth

360 Vulnerability Research Institute'ten Jianjun Dai ve Guang Gong'a yardımları için teşekkür ederiz.

Books

Nixu Cybersecurity'den Aapo Oksman'a yardımı için teşekkür ederiz.

Control Center

Chester van den Bogaard'a yardımı için teşekkür ederiz.

Data Detectors UI

Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) yardımı için teşekkür ederiz.

Find My

Cher Scarlett'e yardımı için teşekkür ederiz.

Home

Jake Derouin'e (jakederouin.com) yardımı için teşekkür ederiz.

Kernel

永超 王 isimli kullanıcıya, Toronto Üniversitesi Munk School'daki Citizen Lab'den Bill Marczak ve Google Threat Analysis Group'tan Maddie Stone'a yardımları için teşekkür ederiz.

libxml2

OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.

libxpc

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

libxslt

PK Security'den Dohyun Lee'ye (@l33d0hyun), OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.

NSURL

糖豆爸爸(@晴天组织) ve Zhanpeng Zhao'ya (行之) yardımları için teşekkür ederiz.

Photos

Dawid Pałuska'ya ve Kirin'e (@Pwnrin) yardımları için teşekkür ederiz.

Photos Storage

SecuRing'den Wojciech Regula'ya (wojciechregula.blog) yardımı için teşekkür ederiz.

Power Services

Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.

Shortcuts

Alfie Cockell Gwinnett, Bundesamt für Sicherheit in der Informationstechnik'ten Christian Basting, Romanya "Tudor Vianu" National High School of Computer Science'tan Cristian Dinca, Giorgos Christodoulidis, TRS Group Of Companies'ten Jubaer Alnazi, KRISHAN KANT DWIVEDI ve Matthew Butler'a yardımları için teşekkür ederiz.

Software Update

Omar Siman'a yardımı için teşekkür ederiz.

StorageKit

Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.

WebKit

Sumo Soft Pvt. Ltd. şirketinden Khiem Tran'a, Narendra Bhati'ye ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

 

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: