watchOS 9.5'in güvenlik içeriği hakkında

Bu belgede watchOS 9.5'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

watchOS 9.5

Accessibility

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-32388: Kirin (@Pwnrin)

Accessibility

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bu uygulamaya verilen yetkiler ve gizlilik izinleri kötü amaçlı bir uygulama tarafından kullanılabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-32400: Mickey Jin (@patch1t)

Accounts

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir saldırgan kullanıcı e-posta hesaplarını sızdırabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bir izin sorunu giderildi.

CVE-2023-34352: MacPaw Inc. şirketinden Sergii Kryvoblotskyi

Apple Neural Engine

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32425: Mohamed GHANNAM (@_simo36)

Core Location

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32399: Adam M.

CoreServices

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-28191: Mickey Jin (@patch1t)

Face Gallery

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kilitli Apple Watch'a fiziksel erişimi olan bir saldırgan, erişilebilirlik özellikleri aracılığıyla kullanıcı fotoğraflarını veya kişileri görüntüleyebilir

Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.

CVE-2023-32417: Zhuhai No.1 Lisesi'nden (珠海市第一中学) Zitong Wu (吴梓桐)

GeoServices

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-32392: Adam M.

ImageIO

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir görüntünün işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32372: Mbition Mercedes-Benz Innovation Lab'den Meysam Firouzi (@R00tkitSMM) (Trend Micro'nun Zero Day Initiative programıyla)

ImageIO

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir görüntüyü işlemek rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) (Trend Micro'nun Zero Day Initiative programıyla)

IOSurfaceAccelerator

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32354: Pinauten GmbH'den (pinauten.de) Linus Henze

IOSurfaceAccelerator

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32420: CertiK SkyFall Ekibi ve Pinauten GmbH'den (pinauten.de) Linus Henze

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Denetimler iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2023-27930: Jamf'ten 08Tc3wBB

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-32398: ASU SEFCOM'dan Adam Doupé

Kernel

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2023-32413: Synacktiv'den (@Synacktiv) Eloi Benoist-Vanderbeken (@elvanderb) (Trend Micro'nun Zero Day Initiative programıyla)

LaunchServices

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, Gatekeeper kontrollerini atlayabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-32352: SecuRing'den Wojciech Reguła (@_r3ggi) (wojciechregula.blog)

MallocStackLogging

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Dosya işleme iyileştirilerek bu sorun giderildi.

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

Metal

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir 3B modelin işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32368: Mickey Jin (@patch1t)

NetworkExtension

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Hassas bilgileri silme işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-32403: Adam M.

NSURLSession

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Dosya işleme protokolünde yapılan iyileştirmelerle sorun giderildi.

CVE-2023-32437: Computest Sector 7'dan Thijs Alkemade

Photos

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Gizli Fotoğraflar Albümü'nde yer alan fotoğraflar Görsel Arama aracılığıyla kimlik doğrulama olmadan görüntülenebiliyordu

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-32390: Julian Szulc

Sandbox

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, izni iptal edildikten sonra da sistem konfigürasyonu dosyalarına erişmeye devam edebilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), FFRI Security, Inc. şirketinden Koh M. Nakagawa, Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) ve Offensive Security'den Csaba Fitzl (@theevilbit)

Share Sheet

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-32432: Kirin (@Pwnrin)

Shortcuts

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir kestirme, belirli eylemler gerçekleştirilirken kullanıcıya sormadan hassas verileri kullanabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-32391: Wenchao Li ve Alibaba Group'tan Xiaolong Bai

Shortcuts

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.

CVE-2023-32404: Mickey Jin (@patch1t), Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve anonim bir araştırmacı

Siri

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Aygıta fiziksel erişimi olan bir kullanıcı, kilitli ekrandan kişi bilgilerini görüntüleyebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-32394: Khiem Tran

SQLite

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Ek SQLite günlüğü kısıtlamaları eklenerek bu sorun giderildi.

CVE-2023-32422: Gergely Kalman (@gergely_kalman) ve SecuRing'den Wojciech Regula (wojciechregula.blog)

StorageKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.

CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)

System Settings

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Ayarlar uygulamasından çıkıldıktan sonra bir uygulama güvenlik duvarı ayarı etkinleşmeyebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2023-28202: Satish Panduranga ve anonim bir araştırmacı

Telephony

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-32412: Google Project Zero'dan Ivan Fratric

TV App

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32408: Adam M.

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32402: anonim bir araştırmacı

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2023-32423: Ignacio Sanmillan (@ulexec)

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Uzaktaki bir saldırgan Web İçeriği korumalı alanını ihlal edebilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-32409: Google Threat Analysis Group'tan Clément Lecigne ve Amnesty International Security Lab'den Donncha Ó Cearbhaill

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-28204: anonim bir araştırmacı

WebKit

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-32373: anonim bir araştırmacı

Wi-Fi

İlgili ürünler: Apple Watch Series 4 ve sonraki modeller

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-32389: STAR Labs SG Pte. Ltd. şirketinden Pan ZhenPeng (@Peterpan0927) Saketh Reddy Malepu

Ek teşekkür listesi

Accounts

MacPaw Inc. şirketinden Sergii Kryvoblotskyi'ye yardımı için teşekkür ederiz.

CFNetwork

Gabriel Geraldino de Souza'ya yardımı için teşekkür ederiz.

CloudKit

Iconic'e yardımı için teşekkür ederiz.

libxml2

OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.

Reminders

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

Security

Brandon Toms'a yardımı için teşekkür ederiz.

Share Sheet

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

Wallet

James Duffy'ye (mangoSecure) yardımı için teşekkür ederiz.