iOS 10.1'in güvenlik içeriği hakkında
Bu belgede, iOS 10.1'in güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerimizi korumak amacıyla, tam bir inceleme gerçekleştirilip gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümlerin listesi Apple güvenlik güncellemeleri sayfasında bulunmaktadır.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.
Mümkün olduğunda, Apple güvenlik belgelerinde güvenlik açıklarından CVE Kimliği ile bahsedilir.
iOS 10.1
AppleMobileFileIntegrity
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: İmzalı bir yürütülebilir dosya aynı ekip kimliğiyle kodları değiştirilebilir
Açıklama: Kod imzalarının işlenmesinde bir doğrulama sorunu vardı. Bu sorun, ek doğrulama aracılığıyla giderildi.
CVE-2016-7584: Google Inc.'den Mark Mentovai ve Boris Vidolov
CFNetwork Proxy'ler
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, hassas kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Proxy kimlik bilgilerinin işlenmesinde bir kimlik hırsızlığı sorunu vardı. Bu sorun, proxy'lere yönelik istenmeyen parola doğrulama istemleri kaldırılarak giderildi.
CVE-2016-7579: Jerry Decime
Kişiler
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Bir uygulama, erişimi Ayarlar'da iptal edildikten sonra Adres Defteri'ne erişmeye devam edebilir
Açıklama: Adres Defteri'ndeki bir erişim denetimi sorunu, dosya bağlantısı doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-4686: Razvan Deaconescu, Mihai Chiroiu (Bükreş POLITEHNICA Üniversitesi); Luke Deshotels, William Enck (North Carolina Eyalet Üniversitesi); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Darmstadt Teknik Üniversitesi)
CoreGraphics
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasını görüntülemek, rastgele kod yürütülmesine neden olabilir
Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4673: Tencent KeenLab'den (@keen_lab) Marco Grassi (@marcograss)
FaceTime
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, aktarılan bir arama sonlandırılmış gibi görünürken sesin iletilmeye devam etmesine neden olabilir
Açıklama: Kullanıcı arabiriminde, aktarılan aramaları işlemeyle ilgili tutarsızlıklar vardı. Bu sorunlar, protokol mantığı iyileştirilerek giderildi.
CVE-2016-7577: salesforce.com'dan Martin Vigo (@martin_vigo)
FontParser
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir fontu ayrıştırmak, hassas kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Bir sınırların dışında okuma sorunu, sınırların denetimi iyileştirilerek giderildi.
CVE-2016-4660: Tencent Xuanwu Lab'den Ke Liu
FontParser
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun, sınırların denetimi iyileştirilerek giderildi.
CVE-2016-4688: Alipay firmasından Simon Huang, thelongestusernameofall@gmail.com
IDS - Bağlantı
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Ayrıcalıklı ağ konumundaki bir saldırgan, çok taraflı bir çağrıdaki kullanıcıyı diğer tarafla konuştuğunu düşünmesine neden olacak şekilde kandırabilir
Açıklama: Çağrı geçişlerinin işlenmesinde bir kimliğe bürünme sorunu vardı. Bu sorun, "arayan geçişi" bildirimlerinin işlenmesi iyileştirilerek giderildi.
CVE-2016-4721: salesforce.com'dan Martin Vigo (@martin_vigo)
iTunes Yedekleme
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Şifrelenmiş bir iTunes yedeklemesine erişimi olan bir saldırgan yedeklemenin parolasını belirleyebilir
Açıklama: Şifrelenmiş iTunes yedeklemesinin işlenmesinde bir parola şifrelemesi zayıflığı vardı. Bu sorun, zayıf şifreleme kaldırılarak giderildi.
CVE-2016-4685: Elcomsoft
Çekirdek
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir
Açıklama: MIG tarafından oluşturulmuş kodda, birden çok girdi doğrulama sorunu vardı. Bu sorunlar, doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-4669: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir
Açıklama: Bir doğrulama sorunu, girdi temizleme işlemi iyileştirilerek giderildi.
CVE-2016-4680: Lookout'tan Max Bazaliy ve in7egral
Çekirdek
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Yerel bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Yeni işlemlerin oluşturulmasında birden çok nesne yaşam süresi sorunu vardı. Bu sorunlar, doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-7613: Google Project Zero'dan Ian Beer
libarchive
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Kötü amaçla oluşturulmuş bir arşiv, rastgele dosyaların üzerine yazabilir
Açıklama: Sembolik bağlantıların yol doğrulama mantığında bir sorun vardı. Bu sorun, yol temizleme işlemi iyileştirilerek giderildi.
CVE-2016-4679: enSilo Ltd'den Omer Medan
libxpc
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bir mantık sorunu, ek kısıtlamalarla giderildi.
CVE-2016-4675: Google Project Zero'dan Ian Beer
Safari
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Kötü amaçla oluşturulmuş bir web sitesi servis reddine neden olabilir
Açıklama: Bir servis reddi sorunu, URL işlemesi iyileştirilerek giderildi.
CVE-2016-7581: Sabri Haddouche (@pwnsdx)
Korumalı Alan Profilleri
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Bir uygulama, fotoğraf dizinlerinin meta verilerini alabilir
Açıklama: Bir erişim sorunu, üçüncü taraf uygulamalara yönelik ek korumalı alan kısıtlamalarıyla giderildi.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (Bükreş POLITEHNICA Üniversitesi); Luke Deshotels, William Enck (North Carolina Eyalet Üniversitesi); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Darmstadt Teknik Üniversitesi)
Korumalı Alan Profilleri
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Bir uygulama, ses kayıt dizinlerinin meta verilerini alabilir
Açıklama: Bir erişim sorunu, üçüncü taraf uygulamalara yönelik ek korumalı alan kısıtlamalarıyla giderildi.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (Bükreş POLITEHNICA Üniversitesi); Luke Deshotels, William Enck (North Carolina Eyalet Üniversitesi); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Darmstadt Teknik Üniversitesi)
Güvenlik
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Yerel bir saldırgan, bir kullanıcı oturum açtığı sırada oturum açma parolasının uzunluğunu görebilir
Açıklama: Parolaların işlenmesinde, bir günlük kaydı sorunu vardı. Bu sorun, parola uzunluğunun günlüğe kaydedilmesi kaldırılarak giderildi.
CVE-2016-4670: Red Sweater Software'den Daniel Jalkut
WebKit
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek, rastgele kod yürütülmesine neden olabilir
Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4666: Apple
CVE-2016-4677: Trend Micro'nun Zero Day Initiative programında çalışan anonim bir araştırmacı
WebKit
İlgili ürünler: iPhone 5 ve sonrası, iPad 4. nesil ve sonrası, iPod touch 6. nesil ve sonrası
Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek, rastgele kod yürütülmesine neden olabilir
Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-7578: Apple
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.