Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz ya da onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
watchOS 10.4
Yayınlanma tarihi: 7 Mart 2024
Accessibility
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kötü amaçla oluşturulmuş bir uygulama, erişilebilirlik bildirimleriyle ilişkili günlük girişlerindeki kullanıcı bilgilerini izleyebilir.
Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.
CVE-2024-23291
AppleMobileFileIntegrity
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, ayrıcalıkları yükseltebilir
Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.
CVE-2024-23288: SecuRing'den Wojciech Regula (wojciechregula.blog) ve Kirin (@Pwnrin)
CoreBluetooth - LE
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, Bluetooth ile bağlı mikrofonlara kullanıcı izni olmadan erişebilir
Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.
CVE-2024-23250: Best Buddy Apps'ten Guilherme Rambo (rambo.codes)
file
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir dosyanın işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-48554
ImageIO
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir görüntüyü işlemek rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2024-23286: Trend Micro Zero Day Initiative ile çalışan Junsung Lee, CrowdStrike Counter Adversary Operations'tan Amir Bazine ve Karsten König, Dohyun Lee (@l33d0hyun) ve Lyutoon ve Mr.R
Giriş güncellenme tarihi: 31 Mayıs 2024
Kernel
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Ek doğrulama ile bir yarış durumu giderildi.
CVE-2024-23235
Kernel
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir
Açıklama: Kilitleme iyileştirilerek bellek bozulması güvenlik açığı giderildi.
CVE-2024-23265: Xinru Chi, Pangu Lab
Kernel
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Rastgele çekirdek okuma ve yazma özelliğine sahip bir saldırgan, çekirdek bellek korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2024-23225
libxpc
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, korumalı alanını ihlal edebilir
Açıklama: Denetimler iyileştirilerek sorun giderildi.
CVE-2024-23278: anonim bir araştırmacı
libxpc
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, rastgele kodu kendi korumalı alanından veya belirli yükseltilmiş ayrıcalıklarla yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2024-0258: ali yabuz
MediaRemote
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, gizli bilgilere erişebilir
Açıklama: Denetimler iyileştirilerek sorun giderildi.
CVE-2024-23297: scj643
Messages
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.
CVE-2024-23287: Kirin (@Pwnrin)
RTKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Rastgele çekirdek okuma ve yazma özelliğine sahip bir saldırgan, çekirdek bellek korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2024-23296
Sandbox
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, hassas kullanıcı bilgilerini sızdırabilir
Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.
CVE-2024-23239: Mickey Jin (@patch1t)
Sandbox
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2024-23290: SecuRing'den Wojciech Regula (wojciechregula.blog)
Share Sheet
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.
CVE-2024-23231: Kirin (@Pwnrin) ve luckyu (@uuulucky)
Siri
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Aygıta fiziksel erişimi olan bir kişi, özel takvim bilgilerine erişmek için Siri'yi kullanabilir
Açıklama: Durum yönetimi iyileştirilerek bir kilitli ekran sorunu giderildi.
CVE-2024-23289: Lewis Hardy
Siri
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir
Açıklama: Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2024-23293: Bistrit Dahal
UIKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Bir uygulama, korumalı alanını ihlal edebilir
Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.
CVE-2024-23246: Bundesamt für Sicherheit in der Informationstechnik sponsorluğundaki Deutsche Telekom Security GmbH
WebKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kötü amaçlı bir web sitesi kaynaklar arasında ses verileri sızdırabilir
Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kötü amaçlı olarak oluşturulmuş bir web sayfası kullanıcının benzersiz bir temsilini oluşturabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir ekleme sorunu giderildi.
WebKit Bugzilla: 266703
CVE-2024-23280: Anonim bir araştırmacı
WebKit
İlgili ürünler: Apple Watch Series 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber ve Marco Squarcina
Ek teşekkür listesi
CoreAnimation
Junsung Lee'ye yardımı için teşekkür ederiz.
CoreMotion
Twin Cities App Dev LLC şirketinden Eric Dorphy'ye yardımı için teşekkür ederiz.
Find My
NorthSea'den Meng Zhang'a (鲸落) yardımı için teşekkür ederiz.
Kernel
Yardımları için Tarek Joumaa'ya (@tjkr0wn) teşekkür ederiz.
libxml2
OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.
libxpc
Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) ve anonim bir araştırmacıya yardımları için teşekkür ederiz.
Power Management
STAR Labs SG Pte. Ltd. şirketinden Pan ZhenPeng'e (@Peterpan0927) yardımı için teşekkür ederiz.
Sandbox
Zhongquan Li'ye (@Guluisacat) yardımı için teşekkür ederiz.
Siri
Bistrit Dahal'a yardımı için teşekkür ederiz.
Software Update
Dublin City Üniversitesi'nden Bin Zhang'e yardımı için teşekkür ederiz.
WebKit
360 Vulnerability Research Institute'tan Nan Wang (@eternalsakura13), Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina ve TU Wien'den Veronese'ye yardımları için teşekkür ederiz.