iOS 8.1.3'ün güvenlik içeriği hakkında

Bu belgede iOS 8.1.3'ün güvenlik içeriği açıklanmaktadır

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

iOS 8.1.3

 • AppleFileConduit

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlarla hazırlanmış bir afc komutu, dosya sisteminin korunan bölümlerine erişim izni verebilir

  Açıklama: afc'nin sembolik bağlantı mekanizmasında bir güvenlik açığı vardı. Ek yol denetimleri eklenerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4480: TaiG Jailbreak Team

 • CoreGraphics

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

  Açıklama: PDF dosyalarının işlenmesinde bir tamsayı taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4481: Binamuse VRT'den Felipe Andres Manzano, iSIGHT Partners GVP Programı aracılığıyla

 • dyld

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Yerel bir kullanıcı imzasız kod çalıştırabilir

  Açıklama: Çakışan bölümlere sahip Mach-O yürütülebilir dosyalarının işlenmesinde bir durum yönetimi sorunu vardı. Segment boyutlarının doğrulanmasında iyileştirmeler yapılarak bu sorun giderildi.

  CVE-ID

  CVE-2014-4455: TaiG Jailbreak Team

 • FontParser

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

  Açıklama: Yazı tipi dosyalarının işlenmesinde arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4483: Apple

 • FontParser

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasının işlenmesi, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

  Açıklama: .dfont dosyalarının işlenmesinde bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4484: HP Zero Day Initiative'iyle çalışan Gaurav Baruah

 • Foundation

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının görüntülenmesi, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

  Açıklama: XML ayrıştırıcısında arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4485: Apple

 • IOAcceleratorFamily

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

  Açıklama: IOAcceleratorFamily'nin kaynak listelerini işlemesinde bir null işaretçi dereferansı mevcuttu. Bu sorun gereksiz kodlar kaldırılarak giderildi.

  CVE-ID

  CVE-2014-4486: Google Project Zero'dan Ian Beer

 • IOHIDFamily

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

  Açıklama: IOHIDFamily'de arabellek taşması sorunu vardı. Boyut doğrulama işlemi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4487: TaiG Jailbreak Team

 • IOHIDFamily

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

  Açıklama: IOHIDFamily'nin kaynak kuyruğu meta verilerini işlemesinde bir doğrulama sorunu vardı. Meta veri doğrulaması iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4488: Apple

 • IOHIDFamily

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

  Açıklama: IOHIDFamily'nin olay kuyruklarını işlemesinde bir null işaretçi dereferansı mevcuttu. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4489: @beist

 • iTunes Store

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Bir web sitesi, iTunes Store'u kullanarak korumalı alan kısıtlamalarını atlayabilir

  Açıklama: Safari'den iTunes Store'a yönlendirilen URL'lerin işlenmesinde, kötü amaçlı bir web sitesinin Safari'nin korumalı alan kısıtlamalarını atlamasına olanak verebilecek bir sorun vardı. iTunes Store tarafından açılan URL'lerin filtrelenmesi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-8840: HP Zero Day Initiative ile çalışan lokihardt@ASRT

 • Kerberos

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

  Açıklama: Kerberos libgssapi kitaplığı, sarkan bir işaretçiyle bağlam belirteci döndürüyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-5352

 • Çekirdek

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlarla hazırlanmış veya güvenliği ihlal edilmiş iOS uygulamaları çekirdekteki adresleri belirleyebilir

  Açıklama: Çekirdek uzantılarıyla ilgili API'lerin işlenmesinde bilgilerin açığa çıkması sorunu vardı. OSBundleMachOHeaders anahtarı içeren yanıtlar, rastgele adres alanı düzeni korumasının atlanmasına yol açabilecek şekilde çekirdek adresleri içermiş olabilir. Bu sorun adresler döndürülmeden önce işlevin sonucu hale getirilerek çözüldü.

  CVE-ID

  CVE-2014-4491: @PanguTeam, Stefan Esser

 • Çekirdek

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

  Açıklama: Çekirdek paylaşılan bellek alt sisteminde, bir saldırganın salt okunur olması istenen belleğe yazmasına olanak tanıyan bir sorun vardı. Paylaşılan bellek izinlerinin daha sıkı denetlenmesiyle bu sorun giderildi.

  CVE-ID

  CVE-2014-4495: Google Project Zero'dan Ian Beer

 • Çekirdek

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlarla hazırlanmış veya güvenliği ihlal edilmiş iOS uygulamaları çekirdekteki adresleri belirleyebilir

  Açıklama: mach_port_kobject çekirdek arayüzü, çekirdek adreslerini ve yığın permütasyon değerini sızdırıyordu; bu da adres alanı düzenini rastgele hale gtirme korumasının atlanmasına yol açabiliyordu. Bu sorun, ürün konfigürasyonlarında mach_port_kobject arabirimi devre dışı bırakılarak giderildi.

  CVE-ID

  CVE-2014-4496: TaiG Jailbreak Team

 • libnetcore

  CVE-2014-4381: Google Project Zero'dan Ian Beer

  Impact: A malicious, sandboxed app can compromise the networkd daemon

  Description: Multiple type confusion issues existed in networkd's handling of interprocess communication. By sending a maliciously formatted message to networkd, it may have been possible to execute arbitrary code as the networkd process. The issue is addressed through additional type checking.

  CVE-ID

  CVE-2014-4492 : Ian Beer of Google Project Zero

 • MobileInstallation

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kurumsal olarak imzalanmış kötü amaçlı bir uygulama kontrolü, aygıtta bulunmakta olan uygulamaların yerel kapsayıcısını ele geçirebilir

  Açıklama: Uygulama yükleme sürecinde bir güvenlik açığı vardı. Kurumsal uygulamaların belirli senaryolarda mevcut uygulamaları geçersiz kılmasının engellenmesiyle bu sorun giderildi.

  CVE-ID

  CVE-2014-4493: FireEye, Inc.'ten Hui Xue ve Tao Wei

 • Springboard

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kurumsal imzalı uygulamalar, güven istenmeden başlatılabilir

  Açıklama: Kurumsal imzalı bir uygulamayı ilk kez açarken güvenin ne zaman sorulacağının belirlenmesinde bir sorun vardı. Kod imza doğrulaması iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4494: FireEye, Inc.'den Song Jin, Hui Xue ve Tao Wei

 • WebKit

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlı içeriği çerçeveleyen bir web sitesini ziyaret etmek kullanıcı arayüzü sahteciliğine neden olabilir

  Açıklama: Kaydırma çubuğu sınırlarının işlenmesinde kullanıcı arayüzü sahteciliği sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4467: Jordan Milne

 • WebKit

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Stil sayfalarının çapraz kaynaklardan yüklenmesi verilerin sızdırılmasına izin verebilir

  Açıklama: img öğesine yüklenen bir SVG, çapraz kaynaklı bir CSS dosyası yükleyebilir. SVG'lerde harici CSS referanslarının engellenmesinin geliştirilmesiyle bu sorun giderildi.

  CVE-ID

  CVE-2014-4465: iSEC Partners'dan Rennie deGraaf

 • WebKit

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlarla hazırlanmış bir web sitesini ziyaret etmek, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

  Açıklama: WebKit'te birden fazla bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

  CVE-ID

  CVE-2014-3192: cloudfuzzer

  CVE-2014-4459

  CVE-2014-4466: Apple

  CVE-2014-4468: Apple

  CVE-2014-4469: Apple

  CVE-2014-4470: Apple

  CVE-2014-4471: Apple

  CVE-2014-4472: Apple

  CVE-2014-4473: Apple

  CVE-2014-4474: Apple

  CVE-2014-4475: Apple

  CVE-2014-4476: Apple

  CVE-2014-4477: HP Zero Day Initiative'den lokihardt@ASRT

  CVE-2014-4479: Apple

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: