iPhone 1.1.1 Güncellemesi'nin güvenlik içeriği hakkında

Bu belgede, iPhone 1.1.1 sürümü Güncellemesi'nin güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

iPhone 1.1.1 sürümü Güncellemesi

Bluetooth

CVE Kimliği: CVE-2007-3753

Etki: Bluetooth kapsama alanındaki bir saldırgan, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

Açıklama: iPhone'un Bluetooth sunucusunda bir giriş doğrulama sorunu var. Bir saldırgan, kötü amaçlarla oluşturulmuş Servis Bulma Protokolü (SDP) paketlerini Bluetooth etkinleştirilmiş bir iPhone'a göndererek sorunu tetikleyebilir ve bu da uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, SDP paketleri için ek doğrulama gerçekleştirerek sorunu giderir. Bu sorunu bildirdikleri için Flexilis Mobile Security'den Kevin Mahaffey ve John Hering'e teşekkür ederiz.

Mail

CVE Kimliği: CVE-2007-3754

Etki: E-postaların güvenilmeyen ağlar üzerinden kontrol edilmesi, ortadaki adam saldırısı yoluyla bilgilerin ifşa edilmesine neden olabilir.

Açıklama: Mail, gelen ve giden bağlantılar için SSL kullanacak şekilde ayarlanırsa posta sunucusunun kimliği değiştiğinde veya güvenilir olmadığında kullanıcıyı uyarmıyor. Bağlantıyı ele geçirebilen bir saldırgan, kullanıcının posta sunucusunun kimliğine bürünerek kullanıcının e-posta kimlik bilgilerini veya diğer hassas bilgileri edinebilir. Bu güncelleme, uzak posta sunucusunun kimliği değiştiğinde doğru şekilde uyararak sorunu giderir.

Mail

CVE Kimliği: CVE-2007-3755

Etki: Mail'de bir telefon ("tel:") bağlantısı takip edildiğinde onay alınmadan bir telefon numarası aranır.

Açıklama: Mail, telefon numaralarını aramaya yönelik telefon ("tel:") bağlantılarını destekliyor. Bir saldırgan, kullanıcıyı kandırıp bir posta iletisindeki telefon bağlantısını takip etmeye teşvik ederek iPhone'un kullanıcı onayı olmadan arama yapmasına neden olabilir. Bu güncelleme, Mail'de bir telefon bağlantısı aracılığıyla bir telefon numarasını aramadan önce onay penceresi sağlayarak sorunu giderir. Bu sorunu bildirdiği için McAfee'den Andi Baritchi'ye teşekkür ederiz.

Safari

CVE Kimliği: CVE-2007-3756

Etki: Kötü amaçlı bir web sitesini ziyaret etmek URL içeriklerinin açığa çıkmasına neden olabilir.

Açıklama: Safari'deki bir tasarım sorunu, bir web sayfasının, üst pencerede görüntülenmekte olan URL'yi okumasına olanak sağlıyor. Bir saldırgan, kullanıcıyı kandırıp kötü amaçlarla oluşturulmuş bir web sayfasını ziyaret etmeye teşvik ederek ilgisiz bir sayfanın URL'sini elde edebilir. Bu güncelleme, etki alanları arası güvenlik denetimini iyileştirerek sorunu giderir. Bu sorunu bildirdikleri için Google Inc. şirketinden Michal Zalewski'ye ve Secunia Research'e teşekkür ederiz.

Safari

CVE Kimliği: CVE-2007-3757

Etki: Kötü amaçlı bir web sitesini ziyaret etmek, istenmeyen bir arama yapılmasına veya beklenenden farklı bir numaranın aranmasına neden olabilir.

Açıklama: Safari, telefon numaralarını aramaya yönelik telefon ("tel:") bağlantılarını destekliyor. Bir telefon bağlantısı seçildiğinde Safari, numaranın aranması gerektiğini onaylar. Kötü amaçlarla oluşturulmuş bir telefon bağlantısı, onaylama sırasında gerçekte aranandan farklı bir numara görüntülenmesine neden olabilir. Onaylama işlemi sırasında Safari'den çıkmak istemeden onay vermeye neden olabilir. Bu güncelleme, aranacak numarayı doğru bir şekilde görüntüleyerek ve telefon bağlantıları için onay gerektirerek sorunu giderir. Bu sorunu bildirdikleri için HP Security Labs (eski adıyla SPI Labs) şirketinden Billy Hoffman ve Bryan Sullivan'a ve Eduardo Tang'e teşekkür ederiz.

Safari

CVE Kimliği: CVE-2007-3758

Etki: Kötü amaçlı bir web sitesini ziyaret etmek siteler arası betik kullanımına neden olabilir.

Açıklama: Safari'de bir siteler arası betik kullanımı güvenlik açığı vardır. Bu güvenlik açığı, kötü amaçlı web sitelerinin farklı bir etki alanından sunulan web sitelerinin JavaScript pencere özelliklerini ayarlamasına olanak sağlar. Bir saldırgan, kullanıcıyı kandırıp kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmeye teşvik ederek sorunu tetikleyebilir ve bu da diğer web sitelerinden sunulan sayfaların pencere durumunun ve konumunun alınmasına veya ayarlanmasına neden olabilir. Bu güncelleme, bu özellikler üzerindeki erişim kontrollerini iyileştirerek sorunu giderir. Bu sorunu bildirdiği için Google Inc. şirketinden Michal Zalewski'ye teşekkür ederiz.

Safari

CVE Kimliği: CVE-2007-3759

Etki: JavaScript'i etkisizleştirmek Safari yeniden başlatılana kadar geçerlilik kazanmaz.

Açıklama: Safari, JavaScript etkinleştirilecek veya etkisizleştirilecek şekilde ayarlanabiliyor. Bu tercih, Safari yeniden başlatılana kadar geçerlilik kazanmıyor. Bu durum genellikle iPhone yeniden başlatıldığında ortaya çıkar. Bu, kullanıcıların JavaScript etkisizleştirilmediği halde öyle olduğunu zannetmesine neden olabilir. Bu güncelleme, yeni web sayfalarını yüklemeden önce yeni tercihi uygulayarak sorunu giderir.

Safari

CVE Kimliği: CVE-2007-3760

Etki: Kötü amaçlı bir web sitesini ziyaret etmek, siteler arası betik kullanımına neden olabilir.

Açıklama: Safari'deki bir siteler arası betik kullanımı sorunu, kötü amaçlarla oluşturulmuş bir web sitesinin "çerçeve" etiketleri kullanarak aynı kaynak politikasını atlamasına olanak tanıyor. Bir saldırgan, kullanıcıyı kandırıp kötü amaçlarla oluşturulmuş bir web sayfasını ziyaret etmeye teşvik ederek sorunu tetikleyebilir ve bu da JavaScript'in başka bir site bağlamında yürütülmesine neden olabilir. Bu güncelleme, JavaScript'in bir "iframe" kaynağı olarak kullanılmasına olanak tanımayarak ve çerçeve etiketlerindeki JavaScript'i, sunulduğu siteyle aynı erişimle sınırlayarak sorunu giderir. Bu sorunu bildirdikleri için Google Inc. şirketinden Michal Zalewski'ye ve Secunia Research'e teşekkür ederiz.

Safari

CVE Kimliği: CVE-2007-3761

Etki: Kötü amaçlı bir web sitesini ziyaret etmek, siteler arası betik kullanımına neden olabilir.

Açıklama: Safari'deki bir siteler arası betik kullanımı sorunu, JavaScript olaylarının yanlış çerçeveyle ilişkilendirilmesine olanak sağlıyor. Bir saldırgan, kullanıcıyı kandırıp kötü amaçlarla oluşturulmuş bir web sayfasını ziyaret etmeye teşvik ederek JavaScript'in başka bir site bağlamında yürütülmesine neden olabilir. Bu güncelleme, JavaScript olaylarını doğru kaynak çerçeveyle ilişkilendirerek sorunu giderir.

Safari

CVE Kimliği: CVE-2007-4671

Etki: Web sitelerindeki JavaScript, HTTPS üzerinden sunulan belgelerin içeriğine erişebilir veya bunları değiştirebilir.

Açıklama: Safari'deki bir sorun, HTTP üzerinden sunulan içeriğin aynı etki alanındaki HTTPS üzerinden sunulan içeriği değiştirmesine veya bu içeriğe erişmesine olanak sağlıyor. Bir saldırgan, kullanıcıyı kandırıp kötü amaçlarla oluşturulmuş bir web sayfasını ziyaret etmeye teşvik ederek o etki alanındaki HTTPS web sayfaları bağlamında JavaScript yürütülmesine neden olabilir. Bu güncelleme, HTTP ve HTTPS çerçevelerinde yürütülen JavaScript arasındaki erişimi sınırlayarak sorunu giderir. Bu sorunu bildirdiği için LAC Co., Ltd. (Little Earth Corporation Co., Ltd.) şirketinden Keigo Yamazaki'ye teşekkür ederiz.

Yükleme notu:

Bu güncelleme yalnızca iTunes üzerinden kullanılabilir ve bilgisayarınızın Yazılım Güncelleme uygulamasında veya Apple İndirilenler sitesinde görünmez. İnternet bağlantınız olduğundan ve http://www.apple.com/tr/itunes/ adresinden en son iTunes sürümünü yüklediğinizden emin olun.

iTunes, Apple'ın güncelleme sunucusunu her hafta otomatik olarak denetler. Güncelleme algılandığında bu güncellemeyi indirir. iPhone dock'a takıldığında, iTunes kullanıcıya güncellemeyi yükleme seçeneğini sunar. Mümkünse güncellemeyi hemen uygulamanızı öneririz. "Yükleme" seçeneği belirlenirse iPhone'unuzu bir sonraki bağlayışınızda güncellemeyi yükleme seçeneği tekrar sunulur.

Otomatik güncelleme işleminin gerçekleştirilmesi, iTunes'un güncellemeleri denetlediği güne bağlı olarak bir haftayı bulabilir. Güncellemeyi iTunes'daki "Güncellemeleri Denetle" düğmesini kullanarak elle alabilirsiniz. Bunu yaptıktan sonra, iPhone'unuz bilgisayarınıza bağlandığında güncelleme uygulanabilir.

iPhone'un güncellendiğini kontrol etmek için:

1. Ayarlar'a gidin

2. Genel'i tıklayın

3. Hakkında'yı tıklayın. Bu güncelleme uygulandıktan sonra Sürüm, "1.1.1 (3A109a)" olur.