watchOS 10.4'ün güvenlik içeriği hakkında

Bu belgede watchOS 10.4'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz ya da onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

watchOS 10.4

Accessibility

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçla oluşturulmuş bir uygulama, erişilebilirlik bildirimleriyle ilişkili günlük girişlerindeki kullanıcı bilgilerini izleyebilir.

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-23291

AppleMobileFileIntegrity

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-23288: SecuRing'den Wojciech Regula (wojciechregula.blog) ve Kirin (@Pwnrin)

CoreBluetooth - LE

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, Bluetooth ile bağlı mikrofonlara kullanıcı izni olmadan erişebilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2024-23250: Best Buddy Apps'ten Guilherme Rambo (rambo.codes)

file

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir dosyanın işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-48554

ImageIO

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir görüntüyü işlemek rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2024-23286: Trend Micro Zero Day Initiative ile çalışan Junsung Lee, CrowdStrike Counter Adversary Operations'tan Amir Bazine ve Karsten König, Dohyun Lee (@l33d0hyun) ve Lyutoon ve Mr.R

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2024-23235

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir

Açıklama: Kilitleme iyileştirilerek bellek bozulması güvenlik açığı giderildi.

CVE-2024-23265: Xinru Chi, Pangu Lab

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Rastgele çekirdek okuma ve yazma özelliğine sahip bir saldırgan, çekirdek bellek korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2024-23225

libxpc

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-23278: anonim bir araştırmacı

libxpc

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, rastgele kodu kendi korumalı alanından veya belirli yükseltilmiş ayrıcalıklarla yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-0258: ali yabuz

MediaRemote

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, gizli bilgilere erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-23297: scj643

Messages

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-23287: Kirin (@Pwnrin)

RTKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Rastgele çekirdek okuma ve yazma özelliğine sahip bir saldırgan, çekirdek bellek korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2024-23296

Sandbox

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı bilgilerini sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23290: SecuRing'den Wojciech Regula (wojciechregula.blog)

Share Sheet

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-23231: Kirin (@Pwnrin) ve luckyu (@uuulucky)

Siri

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Aygıta fiziksel erişimi olan bir kişi, özel takvim bilgilerine erişmek için Siri'yi kullanabilir

Açıklama: Durum yönetimi iyileştirilerek bir kilitli ekran sorunu giderildi.

CVE-2024-23289: Lewis Hardy

Siri

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2024-23293: Bistrit Dahal

UIKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-23246: Bundesamt für Sicherheit in der Informationstechnik sponsorluğundaki Deutsche Telekom Security GmbH

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23226: Pwn2car

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlı bir web sitesi kaynaklar arasında ses verileri sızdırabilir

Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlı olarak oluşturulmuş bir web sayfası kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir ekleme sorunu giderildi.

CVE-2024-23280: Anonim bir araştırmacı

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23284: Georg Felber ve Marco Squarcina

Ek teşekkür listesi

CoreAnimation

Junsung Lee'ye yardımı için teşekkür ederiz.

CoreMotion

Twin Cities App Dev LLC şirketinden Eric Dorphy'ye yardımı için teşekkür ederiz.

Find My

NorthSea'den Meng Zhang'a (鲸落) yardımı için teşekkür ederiz.

Kernel

Yardımları için Tarek Joumaa'ya (@tjkr0wn) teşekkür ederiz.

libxml2

OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.

libxpc

Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Power Management

STAR Labs SG Pte. Ltd. şirketinden Pan ZhenPeng'e (@Peterpan0927) yardımı için teşekkür ederiz.

Sandbox

Zhongquan Li'ye (@Guluisacat) yardımı için teşekkür ederiz.

Siri

Bistrit Dahal'a yardımı için teşekkür ederiz.

Software Update

Dublin City Üniversitesi'nden Bin Zhang'e yardımı için teşekkür ederiz.

WebKit

360 Vulnerability Research Institute'tan Nan Wang (@eternalsakura13), Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina ve TU Wien'den Veronese'ye yardımları için teşekkür ederiz.