iOS 14.2 ve iPadOS 14.2'nin güvenlik içeriği hakkında
Bu belgede iOS 14.2 ve iPadOS 14.2'nin güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
iOS 14.2 ve iPadOS 14.2
Audio
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-27910: Ant Security Light-Year Lab'den JunDong Xie ve XingWei Lin
Audio
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-27916: Ant Security Light-Year Lab'den JunDong Xie
CallKit
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kullanıcılar ikinci aramayı yanıtladıklarına dair herhangi bir gösterge olmaksızın aynı anda iki farklı aramayı yanıtlayabilir
Açıklama: Gelen aramaların işlenmesinde sorun vardı. Ek durum denetimleriyle bu sorun giderildi.
CVE-2020-27925: Nick Tangri
CoreAudio
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-10017: Francis (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie
CoreAudio
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch 7. nesil, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-27908: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie ve Xingwei Lin
CVE-2020-27909: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie ve Xingwei Lin
CoreGraphics
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir PDF'in işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-9897: ZecOps Mobile XDR'den S.Y. ve anonim bir araştırmacı
CoreText
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch 7. nesil, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-27922: Trend Micro'dan Mickey Jin
Crash Reporter
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: Sembolik bağlantıların yol doğrulama mantığında bir sorun vardı. Yol temizleme işlemi iyileştirilerek bu sorun giderildi.
CVE-2020-10003: Leviathan'dan Tim Michaud (@TimGMichaud)
FontParser
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-27930: Google Project Zero
FontParser
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-27927: Ant Security Light-Year Lab'den Xingwei Lin
Foundation
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Yerel bir kullanıcı rastgele dosyaları okuyabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-10002: James Hutchins
ImageIO
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch 7. nesil, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-27924: Lei Sun
ImageIO
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch 7. nesil, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-27912: Ant Security Light-Year Lab'den Xingwei Lin
CVE-2020-27923: Lei Sun
IOAcceleratorFamily
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-27905: Mohamed Ghannam (@_simo36)
Kernel
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, çekirdek belleğini açığa çıkarabilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.
Açıklama: Bir bellek ilklendirme sorunu giderildi.
CVE-2020-27950: Google Project Zero
Kernel
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-10016: Alex Helie
Kernel
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.
Açıklama: Durumun işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2020-27932: Google Project Zero
Keyboard
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Bir iOS aygıtına fiziksel erişimi olan bir kişi, saklanan parolalara kimliğini doğrulamadan ulaşabilir
Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.
CVE-2020-27902: Connor Ford (@connorford2)
libxml2
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch 7. nesil, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-27917: OSS-Fuzz tarafından bulundu
CVE-2020-27920: OSS-Fuzz tarafından bulundu
libxml2
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.
CVE-2020-27911: OSS-Fuzz tarafından bulundu
libxml2
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-27926: OSS-Fuzz tarafından bulundu
Logging
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.
CVE-2020-10010: Tommy Muir (@Muirey03)
Model I/O
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın açılması uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-10004: Cisco Talos'tan Aleksandar Nikolic
Model I/O
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-13524: Cisco Talos'tan Aleksandar Nikolic
Model I/O
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasını işlemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-10011: Cisco Talos'tan Aleksandar Nikolic
Symptom Framework
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-27899: ZecOps'tan 08Tc3wBB
WebKit
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch 7. nesil, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-27918: Ant Security Light-Year Lab'den Liu Long
XNU
İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller
Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir
Açıklama: Mantık iyileştirilerek birden fazla sorun giderildi.
CVE-2020-27935: Lior Halphon (@LIJI32)
Ek teşekkür listesi
NetworkExtension
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
Safari
Gabriel Corona'ya yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.