watchOS  11.2 'nin güvenlik içeriği hakkında

Bu belgede watchOS 11.2'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

watchOS 11.2

APFS

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek sorun giderildi.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) ve anonim bir araştırmacı

AppleMobileFileIntegrity

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir uygulama, gizli bilgilere erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2024-54513: anonim bir araştırmacı

Face Gallery

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Bir sistem ikili dosyası, kullanıcının Apple Hesabı'nın parmak izini almak için kullanılabilir

Açıklama: Sorun, ilgili bayraklar kaldırılarak giderildi.

CVE-2024-54512: Bistrit Dahal

FontParser

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54486: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

ICU

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-54478: Gary Kwong

ImageIO

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2024-54499: Trend Micro'nun Zero Day Initiative programı ile çalışan anonim bir araştırmacı

ImageIO

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54500: Trend Micro Zero Day Initiative ile çalışan Junsung Lee

IOMobileFrameBuffer

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Bir uygulama, yardımcı işlemci belleğini bozabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2024-54517: Baidu Security'den Ye Zhang (@VAR10CK)

CVE-2024-54518: Baidu Security'den Ye Zhang (@VAR10CK)

CVE-2024-54522: Baidu Security'den Ye Zhang (@VAR10CK)

CVE-2024-54523: Baidu Security'den Ye Zhang (@VAR10CK)

Kernel

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54468: anonim bir araştırmacı

Kernel

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Saldırgan, yazılabilen bir salt okunur bellek eşlemesi oluşturabilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2024-54494: sohybbyk

Kernel

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Bir uygulama, hassas çekirdek durumunu sızdırabilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2024-54510: MIT CSAIL'den Joseph Ravichandran (@0xjprx)

libexpat

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2024-45490

libxpc

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54514: anonim bir araştırmacı

libxpc

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Parolaları otomatik doldurma özelliği, kimlik doğrulaması başarısız olduktan sonra parolaları doldurabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54530: C-DAC Thiruvananthapuram Hindistan'dan Abhay Kailasia (@abhay_kailasia), Rakeshkumar Talaviya

QuartzCore

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54497: Trend Micro'nun Zero Day Initiative programı ile çalışan anonim bir araştırmacı

Safari Private Browsing

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Özel Dolaşma sekmelerine kimlik doğrulama olmadan erişilebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

SceneKit

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi servis reddine yol açabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54501: Trend Micro Zero Day Initiative'den Michael DePlante (@izobashi)

Vim

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2024-45306

WebKit

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Google Project Zero'dan Brendon Tiszka

WebKit

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-54508: HKUS3Lab'den linjy ve WHUSecLab'den chluo, Tencent Security YUNDING LAB'den Xiangwei Zhang

WebKit

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi bellek bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2024-54505: Gary Kwong

WebKit

İlgili ürünler: Apple Watch Series 6 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi bellek bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong ve anonim bir araştırmacı

Ek teşekkür listesi

FaceTime

椰椰 adlı kişiye yardımı için teşekkür ederiz.

Proximity

George Mason Üniversitesi'nden Junming C. (@Chapoly1305) ve Prof. Qiang Zeng'e yardımları için teşekkür ederiz.

Swift

Dr. Rer. Nat. Marc Schoenefeld'e yardımları için teşekkür ederiz.

WebKit

Hafiizh'e yardımı için teşekkür ederiz.