watchOS 8.3'ün güvenlik içeriği hakkında
Bu belgede watchOS 8.3'ün güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
watchOS 8.3
Audio
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2021-30960: Ant Security Light-Year Lab'den JunDong Xie
CFNetwork Proxies
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kullanıcı trafiği, PAC konfigürasyonlarına rağmen beklenmedik şekilde bir proxy sunucusuna sızdırılabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-30966: Jmaf'den Michal Rajcan, Jmaf'den Matt Vlasach (Wandera)
ColorSync
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: ICC profillerinin işlenmesindeki bir bellek bozulması sorunu, giriş doğrulaması iyileştirilerek giderildi.
CVE-2021-30926: Jeremy Brown
CVE-2021-30942: Google Project Zero'dan Mateusz Jurczyk
CoreAudio
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması giderildi.
CVE-2021-30957: Ant Security Light-Year Lab'den JunDong Xie
CoreAudio
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir ses dosyasını çalmak rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-30958: Ant Security Light-Year Lab'den JunDong Xie
Crash Reporter
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2021-30945: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)
FontParser
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-31013: STAR Labs'dan Daniel Lim Wee Soong
Game Center
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, gizli irtibat bilgilerini okuyabilir
Açıklama: Doğrulama işlemi iyileştirilerek izin sorunu giderildi.
CVE-2021-31000: Denis Tokarev (@illusionofcha0s)
ImageIO
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-30939: Trend Micro'dan Mickey Jin (@patch1t), Cisco Talos'tan Jaewon Min, Ant Security Light-Year Lab'den Rui Yang ve Xingwei Lin
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-30916: Kunlun Lab'den Zweig
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Kilitleme iyileştirilerek bellek bozulması güvenlik açığı giderildi.
CVE-2021-30937: Google Project Zero'dan Sergei Glazunov
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2021-30927: Pangu Lab'den Xinru Chi
CVE-2021-30980: Pangu Lab'den Xinru Chi
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-30949: Google Project Zero'dan Ian Beer
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2021-30993: OSS-Fuzz, Google Project Zero'dan Ned Williamson
Kernel
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.
CVE-2021-30955: Kunlun Lab'den Zweig
Messages
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir kullanıcı bir mesaj grubundan ayrılabilir ancak o gruptaki mesajları almaya devam edebilir
Açıklama: Mantık iyileştirilerek grup üyeliğinin işlenmesiyle ilgili bir sorun giderildi.
CVE-2021-30943: Joshua Sardella
Preferences
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, ayrıcalıkları yükseltebilir
Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.
CVE-2021-30995: Trend Micro'dan Mickey Jin (@patch1t), Mickey Jin (@patch1t)
Sandbox
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama belirli Gizlilik tercihlerini atlayabilir
Açıklama: Sabit bağlantı davranışıyla ilgili bir doğrulama sorunu, korumalı alan sınırlamaları iyileştirilerek giderildi.
CVE-2021-30968: Offensive Security'den Csaba Fitzl (@theevilbit)
Sandbox
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama belirli Gizlilik tercihlerini atlayabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-30946: @gorelics ve BreakPoint.sh'den Ron Masas
Sandbox
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Bir uygulama kullanıcının dosyalarına erişebilir
Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.
CVE-2021-30947: Offensive Security'den Csaba Fitzl (@theevilbit)
SQLite
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, ek günlük kaydını etkinleştirerek diğer uygulamalardaki verilere erişebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-30944: SecuRing'den Wojciech Reguła (@_r3ggi)
TCC
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-30767: @gorelics
TCC
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, Gizlilik tercihlerini atlayabilir
Açıklama: Bir devredilen izinler sorunu ek sınırlamalarla giderildi.
CVE-2021-30964: Zoom Video Communications'tan Andy Grant
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2021-30934: Dani Biro
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2021-30936: ShuiMuYuLin Ltd ve Tsinghua WingTecher Lab'den Chijin Zhou
CVE-2021-30951: Pangu
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.
CVE-2021-30952: Tianfu Cup aracılığıyla DBAPP Security'nin Weibin laboratuvarından @18f ve @jq0904
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.
CVE-2021-30984: Tianfu Cup aracılığıyla Kunlun Lab
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-30953: Tianfu Cup aracılığıyla 360 Vulnerability Research Institute'tan Jianjun Dai
WebKit
İlgili ürünler: Apple Watch Series 3 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2021-30954: Tianfu Cup aracılığıyla Kunlun Lab
Ek teşekkür listesi
Bluetooth
Haram Park'a ve Korea University'ye yardımları için teşekkür ederiz.
ColorSync
Google Project Zero'dan Mateusz Jurczyk'e yardımı için teşekkür ederiz.
Contacts
Minchan Park'a (03stin) yardımı için teşekkür ederiz.
Kernel
Bar-Ilan University's Center for Research in Applied Cryptography and Cyber Security'den Amit Klein'a yardımı için teşekkür ederiz.
WebKit
Brave'den Peter Snyder'e ve Soroush Karami'ye yardımları için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.