iOS 7.1.2 güvenlik içeriği hakkında
Bu belgede iOS 7.1.2'in güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.
Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.
Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.
iOS 7.1.2
Sertifika Güven Politikası
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Sertifika güven politikası güncellendi
Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi http://support.apple.com/kb/HT5012?viewlocale=tr_TR makalesinde verilmiştir.
CoreGraphics
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir XBM dosyasını görüntülemek uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: XBM dosyalarının işlenmesinde sınırı olmayan bir yığın ayırma sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1354: codedigging.com'dan Dima Kovalenko
Çekirdek
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Bir uygulama aygıtın beklenmedik bir biçimde yeniden başlamasına neden olabiliyordu
Açıklama: IOKit API bağımsız değişkenlerinde bir null işaretçi başvurusu vardı. Bu sorun IOKit API bağımsız değişkenleri için ek doğrulama yapılmasıyla giderildi.
CVE kimliği
CVE-2014-1355: Venustech Adlab'den cunzhang
launchd
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Launchd'nin IPC mesajlarını işlemesinde bir yığın arabellek taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1356: Google Project Zero'dan Ian Beer
launchd
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Launchd'nin günlük mesajlarını işlemesinde bir yığın arabellek taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1357: Google Project Zero'dan Ian Beer
launchd
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Launchd'de bir tamsayı taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1358: Google Project Zero'dan Ian Beer
launchd
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Launchd'de bir tamsayı alt taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1359: Google Project Zero'dan Ian Beer
Lockdown
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Bir iOS aygıtını eline geçiren bir saldırganın Etkinleştirme Kilidi'ni atlama olasılığı vardı
Açıklama: Aygıtlar, aygıt etkinleştirme işlemi sırasında eksik denetimler gerçekleştiriyordu ve bu da kötü amaçlı kişilerin zaman zaman Etkinleştirme Kilidi'ni atlamasına olanak sağlayabiliyordu. Bu sorun etkinleştirme sunucularından alınan verilerde ek istemci tarafı veri doğrulaması yapılarak giderildi.
CVE kimliği
CVE-2014-1360
Ekran Kilidi
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Bir aygıtı eline geçiren bir saldırgan maksimum başarısız parola denemesi sayısını aşabilir
Açıklama: Bazı durumlarda başarısız parola girişimi sınırı uygulanmıyordu. Sorun, bu sınırın uygulanmasıyla ilgili ek zorlamalar getirilerek giderildi.
CVE kimliği
CVE-2014-1352: mblsec
Ekran Kilidi
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kilitli bir aygıta fiziksel erişimi olan bir kişi, kilitlenmeden önce ön planda çalışan bir uygulamaya erişebilir
Açıklama: Uçak Modu'ndayken telefon durumunun işlenmesinde bir durum yönetimi sorunu vardı. Bu sorun Uçak Modu'ndayken durum yönetiminin iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2014-1353
Mail
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: iPhone 4'ten posta ekleri alınabilir
Açıklama: Posta eklerinde veri koruması etkin değildi, bu da eklerin aygıta fiziksel erişimi olan biri tarafından okunabilmesine olanak sağlıyordu. Bu sorun posta eklerinin şifreleme sınıfı değiştirilerek giderildi.
CVE kimliği
CVE-2014-1348: NESO Security Labs'ten Andreas Kurtz
Safari
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Safari'nin geçersiz URL'leri işlemesinde bir 'serbest bıraktıktan sonra kullanma' sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1349: Reno Robert ve Dhanesh Kizhakkinan
Ayarlar
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Aygıta fiziksel erişimi olan bir kişi iCloud parolası girmeden iPhone'umu Bul seçeneğini etkisizleştirebilir
Açıklama: iPhone'umu Bul durumunun işlenmesinde bir durum yönetimi sorunu vardı. Bu sorun iPhone'umu Bul durumunun işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1350
Güvenli Aktarım
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Sıfırlanmamış belleğin iki baytlık kısmı bir uzak saldırgana açılabiliyordu
Açıklama: Bir TLS bağlantısında DTLS mesajlarının işlenmesinde sıfırlanmamış bellek erişimi sorunu vardı. Bu sorun DTLS bağlantılarında yalnızca DTLS mesajları kabul edilerek giderildi.
CVE kimliği
CVE-2014-1361: Adium Projesi'nden Thijs Alkemade
Siri
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad (3. nesil) ve sonrası
Etki: Telefona fiziksel olarak erişimi olan biri tüm kişileri görüntüleyebilir
Açıklama: Bir Siri isteğinde bir veya birkaç kişinin adı geçtiyse, Siri olası seçenekleri listeler ve kişi listesinin tamamı için 'Fazlası...' seçeneğini görüntüler. Kilitli ekranda kullanıldığında, Siri kişi listesinin tamamını görüntülemeden önce parola girilmesini gerektirmiyordu. Bu sorun parola girilmesi zorunlu kılınarak giderildi.
CVE kimliği
CVE-2014-1351: Sherif Hashim
WebKit
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-2875: miaubiz
CVE-2013-2927: cloudfuzzer
CVE-2014-1323: banty
CVE-2014-1325: Apple
CVE-2014-1326: Apple
CVE-2014-1327: Google Chrome Güvenlik Ekibi, Apple
CVE-2014-1329: Google Chrome Güvenlik Ekibi
CVE-2014-1330: Google Chrome Güvenlik Ekibi
CVE-2014-1331: cloudfuzzer
CVE-2014-1333: Google Chrome Güvenlik Ekibi
CVE-2014-1334: Apple
CVE-2014-1335: Google Chrome Güvenlik Ekibi
CVE-2014-1336: Apple
CVE-2014-1337: Apple
CVE-2014-1338: Google Chrome Güvenlik Ekibi
CVE-2014-1339: OUSPG'den Atte Kettunen
CVE-2014-1341: Google Chrome Güvenlik Ekibi
CVE-2014-1342: Apple
CVE-2014-1343: Google Chrome Güvenlik Ekibi
CVE-2014-1362: Apple, miaubiz
CVE-2014-1363: Apple
CVE-2014-1364: Apple
CVE-2014-1365: Apple, Google Chrome Güvenlik Ekibi
CVE-2014-1366: Apple
CVE-2014-1367: Apple
CVE-2014-1368: Keen Ekibinden (Keen Cloud Tech Araştırma Ekibi) Wushi
CVE-2014-1382: Szeged Üniversitesi'nden Renata Hodovan/Samsung Electronics
CVE-2014-1731: Blink geliştirme topluluğunun anonim bir üyesi
WebKit
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir site bağlı çerçeveye veya pencereye alıcı kaynağı denetiminin atlanmasına neden olabilecek mesajlar gönderebilir
Açıklama: URL'lerde unicode karakterlerin işlenmesinde bir kodlama sorunu vardı. Kötü amaçlarla oluşturulmuş bir URL hatalı postMessage kaynak bilgisi gönderilmesine neden olabiliyordu. Bu sorun kodlama/kod çözme işlemleri iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1346: Facebook'tan Erling Ellingsen
WebKit
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir web sitesi için adres çubuğunda sahte bir adres görünebilir
Açıklama: URL'lerin işlenmesinde adres sahteciliği sorunu vardı. Bu sorun URL'lerin kodlamasının iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2014-1345: Facebook'tan Erling Ellingsen
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.