iPhone v1.0.1 Güncellemesi'nin güvenlik içeriği hakkında
Bu belgede, aşağıda açıklandığı gibi iTunes aracılığıyla indirilip yüklenebilen iPhone v1.0.1 Güncellemesi'nin güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi edinmek için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
iPhone v1.0.1 Güncellemesi
Safari
CVE Kimliği: CVE-2007-2400
Şunlar için kullanılabilir: iPhone v1.0
Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi, siteler arası komut dosyası çalıştırmaya izin verebilir.
Açıklama: Safari'nin güvenlik modeli, uzak web sayfalarındaki JavaScript'in etki alanları dışındaki sayfaları değiştirmesini engeller. Sayfa güncellemedeki bir yarış durumu HTTP yeniden yönlendirmesiyle birleştiğinde, bir sayfadaki JavaScript'in yeniden yönlendirilen bir sayfayı değiştirmesine izin verebilir. Bu, çerezlerin ve sayfaların okunmasına veya rastgele olarak değiştirilmesine izin verebilir. Bu güncelleme, pencere özelliklerine erişim denetimini düzelterek sorunu giderir. Bu sorunu bildirdiği için Adobe Systems, Inc.'den Lawrence Lai, Stan Switzer ve Ed Rowe'a teşekkür ederiz.
Safari
CVE Kimliği: CVE-2007-3944
Şunlar için kullanılabilir: iPhone v1.0
Etki: Kötü amaçlarla oluşturulmuş bir web sayfasını görüntülemek rastgele kod yürütülmesine neden olabilir.
Açıklama: Safari'deki JavaScript motoru tarafından kullanılan Perl Uyumlu Kurallı İfadeler (PCRE) kitaplığında yığın arabellek taşmaları var. Saldırgan, bir kullanıcıyı kötü amaçlarla oluşturulmuş bir web sayfasını ziyaret etmeye ikna ederek sorunu tetikleyebilir ve bu da rastgele kod yürütülmesine neden olabilir. Bu güncelleme, JavaScript'in kurallı ifadeleri için ek doğrulama gerçekleştirerek sorunu giderir. Independent Security Evaluators'dan Charlie Miller ve Jake Honoroff'a bu sorunları bildirdikleri için teşekkür ederiz.
WebCore
CVE Kimliği: CVE-2007-2401
Şunlar için kullanılabilir: iPhone v1.0
Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi, siteler arası isteklere izin verebilir.
Açıklama: Üst bilgileri bir HTTP isteğine seri hale getirirken XMLHttpRequest'te bir HTTP enjeksiyon sorunu vardır. Bir saldırgan, bir kullanıcıyı kötü amaçlarla oluşturulmuş bir web sayfasını ziyaret etmeye ikna ederek, siteler arası bir komut dosyası çalıştırma sorununu tetikleyebilir. Bu güncelleme, üst bilgi parametreleri için ek doğrulama gerçekleştirerek sorunu giderir. Bu sorunu bildirdiği için Westpoint Ltd.'den Richard Moore'a teşekkür ederiz.
WebKit
CVE Kimliği: CVE-2007-3742
Şunlar için kullanılabilir: iPhone v1.0
Etki: Bir URL'deki benzer karakterler, bir web sitesini maskelemek için kullanılabilir.
Açıklama: Uluslararası Etki Alanı Adı (IDN) desteği ve Safari'deki yerleşik Unicode yazı tipleri, benzer karakterler içeren bir URL oluşturmak için kullanılabilir. Bunlar, kullanıcıyı meşru bir etki alanı gibi görünen sahte bir siteye yönlendirmek için kötü amaçlı bir web sitesinde kullanılabilir. Bu güncelleme, geliştirilmiş bir alan adı geçerlilik kontrolü yoluyla sorunu giderir. Bu sorunu bildirdiği için Business Architects Inc.'tan Tomohito Yoshino'ya teşekkür ederiz.
WebKit
CVE Kimliği: CVE-2007-2399
Şunlar için kullanılabilir: iPhone v1.0
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
Açıklama: Çerçeve kümeleri işlenirken geçersiz bir tip dönüşümü bellek bozulmasına neden olabilir. Etki: Kötü amaçlarla oluşturulmuş bir web sayfasını ziyaret etmek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorunu bildirdiği için Westnet'ten Rhys Kidd'e teşekkür ederiz.
Yükleme notu
Bu güncelleme yalnızca iTunes üzerinden kullanılabilir ve bilgisayarınızın Yazılım Güncelleme uygulamasında veya Apple Destek İndirilenler sitesinde görünmez. İnternet bağlantınız olduğundan ve http://www.apple.com/tr/itunes/ adresinden en son iTunes sürümünü yüklediğinizden emin olun).
iTunes, Apple'ın güncelleme server’ını her hafta otomatik olarak denetler. Güncelleme algılandığında bu güncellemeyi indirir. iPhone dock'a takıldığında, iTunes kullanıcıya güncellemeyi yükleme seçeneğini sunar. Mümkünse güncellemeyi hemen uygulamanızı öneririz. "Yükleme" seçeneği belirlenirse iPhone'unuzu bir sonraki bağlayışınızda güncellemeyi yükleme seçeneği tekrar sunulur. Otomatik güncelleme işleminin gerçekleştirilmesi, iTunes'un güncellemeleri denetlediği güne bağlı olarak bir haftayı bulabilir.
Güncellemeyi iTunes'daki "Güncellemeleri Denetle" düğmesi veya menü seçeneği aracılığıyla manuel olarak alabilirsiniz. Bunu yaptıktan sonra, iPhone'unuz bilgisayarınıza bağlandığında güncelleme uygulanabilir.
iPhone'un güncellendiğini kontrol etmek için:
iPhone'da Ayarlar'a gidin.
Genel'i tıklayın.
Hakkında'yı tıklayın. Bu güncelleme uygulandıktan sonra sürüm, "1.0.1 (1C25)" olur.