iOS 8'in güvenlik içeriği hakkında

Bu belgede iOS 8'in güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

iOS 8

  • 802.1X

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bir saldırgan Wi-Fi kimlik bilgilerini ele geçirebilir

    Açıklama: Bir saldırgan bir Wi-Fi erişim noktasını taklit ederek kimlik doğrulamasının LEAP ile yapılmasını teklif etmiş, MS-CHAPv1 karmasını kırmış ve erişim noktası daha güçlü kimlik doğrulama yöntemlerini destekliyor olsa bile hedef aldığı erişim noktasının kimlik doğrulamasında, ele geçirdiği kimlik bilgilerini kullanmış olabilir. Bu sorun, LEAP'in saptanmış olarak devre dışı bırakılmasıyla giderildi.

    CVE Kimliği

    CVE-2014-4364: Hasselt Üniversitesinden Pieter Robyns, Bram Bonne, Peter Quax ve Wim Lamotte

  • Accounts

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, kullanıcının Apple Kimliğini belirlemeyi başarabilir

    Açıklama: Hesapların erişim denetimi mantığında bir sorun vardı. Korumalı bir uygulama, mevcut durumda etkin olan iCloud hesabı hakkında hesabın adı da dahil olmak üzere bilgi elde edebilir. Bu sorun, yetkili olmayan uygulamalardan belirli hesap türlerine erişim kısıtlanarak giderildi.

    CVE Kimliği

    CVE-2014-4423: Adam Weaver

  • Accessibility

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Aygıt, AssistiveTouch özelliği kullanılırken ekranı kilitlemeyebilir

    Açıklama: AssistiveTouch'ın etkinlikleri işlemesinde, ekranın kilitlenmesini engelleyen bir mantık sorunu vardı. Bu sorun, kilit zamanlayıcısının işlenmesi geliştirilerek giderildi.

    CVE Kimliği

    CVE-2014-4368: Hendrik Bettermann

  • Accounts Framework

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bir iOS aygıtına erişimi olan bir saldırgan günlüklerden hassas kullanıcı bilgilerine erişebilir

    Açıklama: Hassas kullanıcı bilgileri günlüğe kaydediliyordu. Bu sorun daha az bilgi kaydedilerek giderildi.

    CVE Kimliği

    CVE-2014-4357: OP-Pohjola Group'tan Heli Myllykoski

  • Address Book

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bir iOS aygıtına fiziksel erişimi olan bir kişi adres defterini okuyabilir

    Açıklama: Adres defteri, yalnızca donanım UID'si tarafından korunan bir anahtarla şifreleniyordu. Bu sorun, adres defterini donanım UID tarafından korunan bir anahtar ve kullanıcının geçiş kodu ile şifreleyerek giderildi.

    CVE Kimliği

    CVE-2014-4352: Jonathan Zdziarski

  • App Installation

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir saldırgan ayrıcalıkları arttırarak doğrulanmamış uygulamalar yükleyebilir

    Açıklama: Uygulama Yükleme işleminde bir yarış koşulu vardı. /tmp'ye yazabilen bir saldırgan, doğrulanmamış bir uygulama yüklemeyi başarabilir. Bu sorun, yükleme dosyaları başka bir dizine taşınarak giderildi.

    CVE Kimliği

    CVE-2014-4386: evad3rs

  • App Installation

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir saldırgan ayrıcalıkları arttırarak doğrulanmamış uygulamalar yükleyebilir

    Açıklama: Uygulama Yükleme işleminde çapraz yol geçişi sorunu vardı. Yerel bir saldırgan kod imza doğrulamasını yüklenmekte olandan farklı bir pakete yeniden hedefleyerek, doğrulanmamış bir uygulamanın yüklenmesine neden olabilir. Bu sorun, hangi kod imzasının doğrulanacağı seçilirken çapraz yol geçişinin belirlenerek önlenmesiyle giderildi.

    CVE Kimliği

    CVE-2014-4384: evad3rs

  • Assets

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan bir iOS aygıtının güncel olmadığı halde güncel olduğunu sanmasına yol açabilir

    Açıklama: Güncelleme denetimi yanıtlarının işlenmesinde bir doğrulama sorunu vardı. Ardışık güncelleme taleplerinde "Şu Tarihten İtibaren Değiştirilmişse" denetimleri için "Son Değişiklik Tarihi" yanıt başlıklarında gelecek tarihlere ayarlı sahte tarihler kullanılıyordu. Bu sorun, Son Değiştirilme Tarihi başlığının doğrulanmasıyla giderildi.

    CVE Kimliği

    CVE-2014-4383: DinoSec'ten Raul Siles

  • Bluetooth

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) sonraki modeller, iPad 2 sonraki modeller

    Etki: Bluetooth, iOS yükseltmesi yapıldıktan sonra beklenmedik bir şekilde saptanmış olarak etkinleştiriliyordu

    Açıklama: Bluetooth, iOS yükseltmesi yapıldıktan sonra otomatik olarak etkin hale geliyordu. Bu sorun, Bluetooth'un sadece büyük veya küçük sürüm güncellemelerinde açılmasıyla giderildi.

    CVE Kimliği

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Certificate Trust Policy

    iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Sertifika güven politikasında güncelleme

    Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi https://support.apple.com/HT5012

  • CoreGraphics

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

    Açıklama: PDF dosyalarının işlenmesinde bir tamsayı taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2014-4377: Binamuse VRT'den Felipe Andres Manzano (iSIGHT Partners GVP Program ile)

  • CoreGraphics

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya bilgilerin açıklanmasına neden olabilir

    Açıklama: PDF dosyalarının işlenmesinde sınırların dışında bellek okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2014-4378: Binamuse VRT'den Felipe Andres Manzano (iSIGHT Partners GVP Program ile)

  • Data Detectors

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Mail uygulamasında bir FaceTime bağlantısına dokunulması, önceden sorulmadan sesli FaceTime araması yapılmasına neden oluyordu

    Açıklama: Mail, facetime-audio:// URL'lerini başlatmadan önce kullanıcıdan izin istemiyordu. Bir onay istemi eklenerek bu sorun giderildi.

    CVE Kimliği

    CVE-2013-6835: Guillaume Ross

  • Foundation

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: NSXMLParser kullanan bir uygulama, bilgilerin açıklanması için kötüye kullanılabilir

    Açıklama: NSXMLParser'ın XML işlemesinde XML Harici Varlık sorunu vardı. Bu sorun, kaynaklar arasında harici varlıklar yüklenmeyerek giderildi.

    CVE Kimliği

    CVE-2014-4374: VSR'den George Gal (http://www.vsecurity.com/)

  • Home & Lock Screen

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bir arka plan uygulaması hangi uygulamanın en önde olduğunu belirleyebilir

    Açıklama: En öndeki uygulamayı belirleyen özel API'nin erişim denetimi yetersizdi. Bu sorun, ek erişim denetimi ile giderildi.

    CVE Kimliği

    CVE-2014-4361: NESO Security Labs'den Andreas Kurtz ve Heilbronn University'den Markus Troßbach

  • iMessage

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Ana iMessage veya MMS silindikten sonra ekler kalabilir

    Açıklama: Eklerin silinme yönteminde bir yarış koşulu vardı. Bu sorun, bir ekin silinip silinmediğini belirlemek için ek denetimler gerçekleştirilerek giderildi.

    CVE Kimliği

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller. Etki: Bir uygulama, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir. Açıklama: IOAcceleratorFamily API bağımsız değişkenlerinin işlenmesinde bir null işaretçi dereferansı vardı. IOAcceleratorFamily API bağımsız değişkenlerinin doğrulanması iyileştirilerek sorun giderildi. CVE Kimliği CVE-2014-4369: Alibaba Mobile Security Team'den Sarah (winocm) ve Cererdlong

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry updated February 3, 2020

  • IOAcceleratorFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Aygıt beklenmedik biçimde yeniden başlatılabilir

    Açıklama: IntelAccelerator sürücüsünde bir NULL işaretçi dereferansı vardı. Hatanın işlenmesi iyileştirilerek sorun giderildi.

    CVE Kimliği

    CVE-2014-4373: Adlab of Venustech'ten cunzhang

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, çekirdek adresinin rastgele adres alanı düzenini atlamak için kullanılabilen çekirdek işaretçilerini okuyabilir

    Açıklama: Bir IOHIDFamily işlevinin işlenmesinde, sınırların dışında okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2014-4379: Google Project Zero'dan Ian Beer

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin anahtar eşleşme özelliklerini işlemesinde bir yığın arabellek taşması vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2014-4404: Google Project Zero'dan Ian Beer

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin anahtar eşleşme özelliklerini işlemesinde bir null işaretçi dereferansı vardı. Bu sorun, IOHIDFamily anahtar eşleşme özellikleri doğrulamasının geliştirilmesiyle giderildi.

    CVE Kimliği

    CVE-2014-4405: Google Project Zero'dan Ian Beer

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily çekirdek uzantısında, sınırların dışında yazma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2014-4380: Adlab of Venustech'ten cunzhang

  • IOKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, çekirdek belleğinden ilklendirilmemiş verileri okuyabilir

    Açıklama: IOKit işlevlerinin işlenmesinde ilklendirilmemiş bellek erişimi sorunu vardı. Bellek ilklendirme iyileştirilerek bu sorun giderildi

    CVE Kimliği

    CVE-2014-4407: @PanguTeam

  • IOKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IODataQueue nesnelerinin belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu vardı. Meta veri doğrulaması iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2014-4418: Google Project Zero'dan Ian Beer

  • IOKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IODataQueue nesnelerinin belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu vardı. Meta veri doğrulaması iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2014-4388: @PanguTeam

  • IOKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOKit işlevlerinin işlenmesinde bir tam sayı taşması sorunu vardı. Bu sorun IOKit API bağımsız değişkenleri için doğrulamanın geliştirilmesiyle giderildi.

    CVE Kimliği

    CVE-2014-4389: Google Project Zero'dan Ian Beer

  • Kernel

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir

    Açıklama: Ağ istatistikleri arabiriminde, çekirdek belleği içeriğinin açıklanmasına yol açan birden çok ilklendirilmemiş bellek sorunu vardı. Bu sorun ek bellek ilklendirmeyle giderildi.

    CVE Kimliği

    CVE-2014-4371: Google Security Team'den Fermin J. Serna

    CVE-2014-4419: Google Security Team'den Fermin J. Serna

    CVE-2014-4420: Google Security Team'den Fermin J. Serna

    CVE-2014-4421: Google Security Team'den Fermin J. Serna

  • Kernel

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Ayrıcalıklı ağ konumuna sahip bir kişi servis reddine yol açabilir

    Açıklama: IPv6 paketlerinin işlenmesinde bir yarış koşulu sorunu vardı. Bu sorun, kilit durumu denetiminin iyileştirilmesiyle giderildi.

    CVE Kimliği

    CVE-2011-2391: Marc Heuse

  • Kernel

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir

    Açıklama: Mach bağlantı noktalarının işlenmesinde bir çift serbest bırakma sorunu vardı. Mach bağlantı noktaları doğrulamasının iyileştirilmesiyle bu sorun giderildi.

    CVE Kimliği

    CVE-2014-4375: anonim bir araştırmacı

  • Kernel

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir

    Açıklama: rt_setgate'de sınırların dışında okuma sorunu vardı. Bu sorun, bellek bilgilerinin açığa çıkmasına veya bellek bozulmasına yol açabilir. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2014-4408

  • Kernel

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bazı çekirdek sağlamlaştırma ölçümleri atlanabilir

    Açıklama: Önyükleme işleminin başlarında çekirdek sağlamlaştırma ölçümleri için kullanılan rastgele sayı oluşturucu kriptografik olarak güvenli değildi. Bazı çıktıları kullanıcı alanından anlaşılır değildi, böylece sağlamlaştırma ölçümlerinin atlanmasına olanak sağlıyordu. Bu sorun, kriptografik olarak güvenli bir algoritma kullanılarak giderildi.

    CVE Kimliği

    CVE-2014-4422: Azimuth Security'den Tarjei Mandt

  • Libnotify

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Libnotify'da sınırların dışında yazma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2014-4381: Google Project Zero'dan Ian Beer

  • Lockdown

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Etkinleştirme kilidi etkinken aygıt manipüle edilerek yanlış bir şekilde ana ekranın gösterilmesi sağlanabilir

    Açıklama: Kilit açma davranışında, aygıtın etkinleştirme kilidi etkin durumda kalması gerekirken ana ekranın açılmasına neden olan bir sorun vardı. Bu sorun, kilit açma talebi sırasında aygıtın doğruladığı bilgiler değiştirilerek giderildi.

    CVE Kimliği

    CVE-2014-1360

  • Mail

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Sunucuda LOGINDISABLED IMAP yeteneği bulunduğu halde oturum açma kimlik bilgileri düz metin olarak gönderilebilir

    Açıklama: Sunucularda LOGINDISABLED IMAP yeteneği bulunduğu halde Mail, sunuculara LOGIN komutu gönderiyordu. Bu durum, çoğunlukla şifreli olmayan bağlantıları kabul edecek şekilde ayarlanmış ve LOGINDISABLED bulunan sunuculara bağlanılırken sorun oluşturuyordu. Bu sorun, LOGINDISABLED IMAP yeteneği kabul edilerek giderildi.

    CVE Kimliği

    CVE-2014-4366: Mark Crispin

  • Mail

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bir iOS aygıtına fiziksel erişimi olan bir kişi e-posta eklerini okuyabilir

    Açıklama: Mail'in e-posta eklerindeki Veri Koruması'nı kullanmasında bir mantık sorunu vardı. Bu sorun, e-posta eklerinin Veri Koruması sınıfının uygun şekilde ayarlanmasıyla giderildi.

    CVE Kimliği

    CVE-2014-1348: NESO Security Labs'den Andreas Kurtz

  • Profiles

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: iOS yükseltmesi yapıldıktan sonra Sesle Arama beklenmedik biçimde etkin hale geliyor

    Açıklama: Sesle Arama, iOS yükseltmesi yapıldıktan sonra otomatik olarak etkin hale geliyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2014-4367: Sven Heinemann

  • Safari

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kullanıcı kimlik bilgileri, otomatik doldurma üzerinden istenmeyen bir siteye açıklanabilir

    Açıklama: Safari, ana çerçevedekinden farklı bir etki alanını gösteren bir alt çerçeveye kullanıcı adlarını ve parolalarını otomatik olarak girebiliyordu. Bu sorun iyileştirilmiş kaynak izlemeyle giderildi.

    CVE Kimliği

    CVE-2013-5227: Klarna AB'den Niklas Malmgren

  • Safari

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini ele geçirebilir

    Açıklama: Kaydedilen parolalar http sitelerinde, güvenilirliği bozuk https sitelerinde ve iFrame'lerde otomatik olarak dolduruluyordu. Bu sorun, parolayı otomatik doldurmanın, geçerli sertifika zincirlerine sahip https sitelerinin ana çerçevesiyle kısıtlandırılmasıyla giderildi.

    CVE Kimliği

    CVE-2014-4363: Stanford University'den David Silver, Suman Jana ve Dan Boneh ile Carnegie Mellon University'den Eric Chen ve Collin Jackson'ın ortak çalışması

  • Safari

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan Safari'de sahte URL'ler gönderebilir

    Açıklama: MDM etkinleştirilmiş aygıtlarda Safari'de bir kullanıcı arabirimi tutarsızlığı sorunu vardı. Sorun, kullanıcı arabirimindeki tutarsızlık kontrolleri geliştirilerek giderildi.

    CVE Kimliği

    CVE-2014-8841: Salesforce Product Security'den Angelo Prado

  • Sandbox Profiles

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Apple Kimliği bilgilerine üçüncü taraf uygulamalar tarafından erişilebiliyordu

    Açıklama: Üçüncü taraf uygulama korumalı alanında bilgi açığa çıkma sorunu vardı. Bu sorun, üçüncü taraf korumalı alan profili iyileştirilerek giderildi.

    CVE Kimliği

    CVE-2014-4362: NESO Security Labs'den Andreas Kurtz ve Heilbronn University'den Markus Troßbach

  • Settings

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bu özellik devre dışı olduğunda bile metin mesajı önizlemeleri kilit ekranında görünebilir

    Açıklama: Kilit ekranında metin mesajı bildirimlerini önizleme konusunda bir sorun vardı. Sonuç olarak, önizleme Ayarlar menüsünde devre dışı bırakılmış olsa bile alınan mesajların içerikleri kilit ekranında gösteriliyordu. Bu sorun bu ayarın gözetimi iyileştirilerek giderildi.

    CVE Kimliği

    CVE-2014-4356: San Pietro Vernotico (BR), İtalya'dan Mattia Schirinzi

  • syslog

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir kullanıcı rastgele dosyalarda izinleri değiştirebilir

    Açıklama: Dosyalardaki izinler değiştirilirken syslogd, sembolik bağlantıları izliyordu. Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.

    CVE Kimliği

    CVE-2014-4372: Georgia Tech Information Security Center'dan (GTISC) Tielei Wang ve YeongJin Jang

  • Weather

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Konum bilgileri şifrelenmeden gönderiliyordu

    Açıklama: Yerel hava durumunu belirlemek için kullanılan bir API'de bir bilgi açıklama sorunu vardı. Bu sorun, API'ler değiştirilerek giderildi.

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir web sitesi, özel dolaşma etkinken bile kullanıcıları izleyebilir

    Açıklama: Bir web uygulaması HTML 5 uygulama önbellek verilerini normal göz atma sırasında saklayıp verileri özel dolaşma sırasında okuyabiliyordu. Bu sorun, özel dolaşma modundayken uygulama önbelleğine erişim devre dışı bırakılarak giderildi.

    CVE Kimliği

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla hazırlanmış bir web sitesini ziyaret etmek, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

    Açıklama: WebKit'te birden fazla bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE Kimliği

    CVE-2013-6663: OUSPG'den Atte Kettunen

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Güvenlik Ekibi

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Google'dan Eric Seidel

    CVE-2014-4411: Google Chrome Güvenlik Ekibi

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bir aygıt, Wi-Fi MAC adresi aracılığıyla pasif olarak izlenebilir

    Açıklama: Wi-Fi ağlarının taranması için stabil bir MAC adresi kullanıldığından dolayı bir bilgi açıklama sorunu vardı. Bu sorun, pasif Wi-Fi taramaları için MAC adresinin rastgele hale getirilmesiyle giderildi.

Not:

iOS 8 bazı tanılama özelliklerinde değişiklikler içermektedir. Ayrıntılar için lütfen https://support.apple.com/HT6331

iOS 8 artık aygıtların daha önce güvenilmiş tüm bilgisayarları güvenilmeyen olarak görmesine izin veriyor. Talimatlar https://support.apple.com/HT5868

FaceTime her ülkede ve bölgede kullanılamaz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: