iOS 14.3 ve iPadOS 14.3'ün güvenlik içeriği hakkında
Bu belgede iOS 14.3 ve iPadOS 14.3'ün güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
iOS 14.3 ve iPadOS 14.3
App Store
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Bir kurumsal uygulama yükleme isteminde, yanlış alan adı görüntülenebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-29613: Ryan Pickren (ryanpickren.com)
Audio
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi sınırlandırılmış belleğin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-29610: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla)
CoreAudio
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-27948: Ant Security Light-Year Lab'den JunDong Xie
FontParser
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-29608: Ant Security Light-Year Lab'den Xingwei Lin
FontParser
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bilgilerin açığa çıkması sorunu giderildi.
CVE-2020-27946: Google Project Zero'dan Mateusz Jurczyk
FontParser
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2020-27943: Google Project Zero'dan Mateusz Jurczyk
CVE-2020-27944: Google Project Zero'dan Mateusz Jurczyk
CVE-2020-29624: Google Project Zero'dan Mateusz Jurczyk
ImageIO
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-29615: Ant Security Light-Year Lab'den Xingwei Lin
ImageIO
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-29617: Ant Security Light-Year Lab'den Xingwei Lin
CVE-2020-29619: Ant Security Light-Year Lab'den Xingwei Lin
ImageIO
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-29618: Ant Security Light-Year Lab'den Xingwei Lin
ImageIO
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-29611: Alexandru-Vlad Niculae (Google Project Zero ile)
Model I/O
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2020-29614: Topsec Alpha Lab'den ZhiWei Sun (@5n1p3r0010)
Model I/O
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2020-9972: Cisco Talos'tan Aleksandar Nikolic
Security
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Yetkisiz kod yürütülmesi kimlik doğrulama politikasının ihlal edilmesine neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2020-27951: Apple
WebKit Storage
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Kullanıcılar, dolaşma tarihçesini tamamen silemeyebilir
Açıklama: "Geçmişi ve Web Sitesi Verilerini Sil" seçeneği geçmişi temizlemedi. Veri silme işlemi iyileştirilerek bu sorun giderildi.
CVE-2020-29623: OvalTwo LTD şirketinden Simon Hunt
WebRTC
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-15969: anonim bir araştırmacı
Wi-Fi
İlgili ürünler: iPhone 6s ve sonraki modeller, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller ve iPod touch (7. nesil)
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2021-31077: CompSec@SNU'dan Lee
Ek teşekkür listesi
CoreAudio
Ant Security Light-Year Lab'den JunDong Xie ve Xingwei Lin'e yardımları için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.