iPhone için iOS 4.2.7 Yazılım Güncellemesi'nin güvenlik içeriği

Bu belgede iOS 4.2.7 Yazılım Güncellemesi'nin güvenlik içeriği açıklanmaktadır.

Bu belgede iOS 4.2.7 Yazılım Güncellemesi'nin güvenlik içeriği açıklanmaktadır. İçerik iTunes kullanılarak indirilebilir ve yüklenebilir.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

iPhone için iOS 4.2.7 Yazılım Güncellemesi

• Certificate Trust Policy

  İlgili sürümler: iPhone 4 (CDMA) için iOS 4.2.5 - 4.2.6

  Etki: Ayrıcalıklı ağdaki bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir

  Açıklama: Bir Comodo bağlı kuruluş kayıt otoritesi tarafından bazı sahte SSL sertifikaları düzenlendi. Bu, ortadaki adam saldırısı yapan bir saldırganın bağlantıları yönlendirip kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirmesine izin verebilir. Bu sorun, sahte sertifikaların kara listeye alınması yoluyla çözülür.

  Not: Mac OS X sistemleri için bu sorun Güvenlik Güncellemesi 2011-002 ile çözülür. Windows sistemleri için, Safari bir SSL sunucusu sertifikasının güvenilir olup olmadığını anlamak üzere sunucu işletim sisteminin sertifika mağazasını kullanır. Microsoft Bilgi Bankası Makalesi 2524375'te açıklanan güncellemenin uygulanması, Safari'nin bu sertifikaları güvenilmez olarak görmesini sağlar. Makaleye şu adresten erişilebilir: http://support.microsoft.com/tr-tr/2524375

• QuickLook

  İlgili sürümler: iPhone 4 (CDMA) için iOS 4.2.5 - 4.2.6

  Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: QuickLook'un Microsoft Office dosyalarını işlemesinde bir bellek bozulması sorunu vardı. Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

  CVE-ID

  CVE-2011-1417: Charlie Miller ve Dion Blazakis (TippingPoint'in Zero Day Initiative programıyla)

• WebKit

  CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann ve anonim bir araştırmacı (TippingPoint'in Zero Day Initiative programıyla)

  Impact: Visiting a maliciously crafted website may lead to an unexpected application termination or arbitrary code execution

  Description: An integer overflow issue existed in the handling of nodesets. Visiting a maliciously crafted website may lead to an unexpected application termination or arbitrary code execution.

  CVE-ID

  CVE-2011-1290 : Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann, and an anonymous researcher working with TippingPoint's Zero Day Initiative

• WebKit

  CVE-2011-1344: Vupen Security (TippingPoint'in Zero Day Initiative programıyla) ve Martin Barbella

  Impact: Visiting a maliciously crafted website may lead to an unexpected application termination or arbitrary code execution

  Description: A use after free issue existed in the handling of text nodes. Visiting a maliciously crafted website may lead to an unexpected application termination or arbitrary code execution.

  CVE-ID

  CVE-2011-1344 : Vupen Security working with TippingPoint's Zero Day Initiative, and Martin Barbella