iOS 8.4.1'in güvenlik içeriği hakkında

Bu belgede iOS 8.4.1'in güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer güvenlik güncellemeleri hakkında daha fazla bilgi için Apple güvenlik güncellemeleri başlıklı makaleye bakın.

iOS 8.4.1

  • AppleFileConduit

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı olarak oluşturulmuş bir afc komutu, dosya sisteminin korumalı bölümlerine erişime izin verebilir

    Açıklama: afc'nin simgesel bağlantı sağlama mekanizmasında bir sorun vardı. Bu sorun ek yol denetimleri ilave edilerek giderildi.

    CVE kimliği

    CVE-2015-5746: evad3rs, TaiG Jailbreak Ekibi

  • Air Traffic

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Air Traffic, dosya sisteminin korumalı bölümlerine erişime izin verebilir

    Açıklama: Varlıkların işlenmesinde çapraz yol geçişi sorunu vardı. Bu sorun, doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5766: TaiG Jailbreak Ekibi

  • Yedekleme

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir uygulama, diskin korumalı bölümlerine sembolik bağlantılar oluşturabilir

    Açıklama: Sembolik bağlantıların yol doğrulama mantığında bir sorun vardı. Bu sorun, yol temizleme işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5752: TaiG Jailbreak Ekibi

  • bootp

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Bir saldırgan bir aygıtın daha önce eriştiği Wi-Fi ağlarını belirleyebilir

    Açıklama: Bir Wi-Fi ağına bağlanıldığında daha önce erişilen ağların MAC adresleri yayınlanmış olabilir. Bu sorun yalnızca geçerli SSID ile ilişkili MAC adresleri yayınlanarak giderildi.

    CVE kimliği

    CVE-2015-3778: Oxford Internet Institute'dan Piers O'Hanlon, Oxford Üniversitesi (EPSRC Being There projesi)

  • Certificate UI

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, güvenilmeyen sertifikaları kilit ekranından kabul edebilir

    Açıklama: Aygıt, kilitli durumdayken belirli şartlar altında bir sertifika güven sorgu kutusu görüntüleyebilir. Bu sorun, durum yönetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3756: NCC Group'tan Andy Grant

  • CloudKit

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir uygulama, daha önce giriş yapan bir kullanıcının iCloud kullanıcı kaydına erişebilir

    Açıklama: Kullanıcılar çıkış yaparken CloudKit'te bir durum tutarsızlığı sorunu vardı. Bu sorun, durum işlemesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3782: University of Toronto'dan Deepkanwal Plaha

  • CFPreferences

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir uygulama diğer uygulamaların yönetilen tercihlerini okuyabilir

    Açıklama: Üçüncü taraf uygulama korumalı alanında bir sorun vardı. Bu sorun, üçüncü taraf korumalı alan profili iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3793: Appthority Mobility Threat Team'den Andreas Weinlein

  • Kod İmzalama

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir uygulama imzalanmamış kod yürütebilir

    Açıklama: Özel olarak oluşturulmuş bir çalıştırılabilir dosyada, imzalanmış koda imzalanmamış kod eklenmesine izin veren bir sorun vardı. Bu sorun, imza doğrulama kodunun geliştirilmesiyle giderildi.

    CVE kimliği

    CVE-2015-3806: TaiG Jailbreak Ekibi

  • Kod İmzalama

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Özel olarak oluşturulmuş bir çalıştırılabilir dosya, imzalanmamış, kötü amaçlı kodların yürütülmesine izin verebilir

    Açıklama: Çoklu mimari özelliğine sahip çalıştırılabilir dosyaların değerlendirilmesinde, imzalanmamış kodların yürütülmesine izin verebilen bir sorun vardı. Bu sorun, çalıştırılabilir dosyalarının doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3803: TaiG Jailbreak Ekibi

  • Kod İmzalama

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Bölgede bulunan bir kullanıcı, imzalanmamış kod çalıştırabilir

    Açıklama: Mach-O dosyalarının işlenmesinde bir doğrulama sorunu vardı. Bu sorun ek denetimler ilave edilerek giderildi.

    CVE kimliği

    CVE-2015-3802: TaiG Jailbreak Ekibi

    CVE-2015-3805: TaiG Jailbreak Ekibi

  • CoreMedia Oynatma

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: CoreMedia Oynatma'da bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Ekibi

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Ekibi

  • DiskImages

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlarla oluşturulmuş bir DMG dosyasını işlemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir

    Açıklama: Hatalı DMG görüntülerinin ayrıştırılmasında bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3800: Yahoo Pentest Ekibi'nden Frank Graziano

  • FontParser

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Ekibi

    CVE-2015-5775: Apple

  • ImageIO

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlarla oluşturulmuş bir tiff dosyasını işlemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: .tiff dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5758: Apple

  • ImageIO

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek işlem belleğinin açığa çıkmasına neden olabilir

    Açıklama: ImageIO'nun PNG görüntülerini işlemesinde sıfırlanmamış bellek erişimi sorunu vardı. Kötü amaçlı bir web sitesini ziyaret etmek işlem belleğinden web sitesine veri gönderilmesine neden olabiliyordu. Bu sorun, bellek sıfırlaması iyileştirilerek ve PNG görüntülerine ek doğrulama ilave edilerek giderildi.

    CVE kimliği

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek işlem belleğinin açığa çıkmasına neden olabilir

    Açıklama: ImageIO'nun TIFF görüntülerini işlemesinde sıfırlanmamış bellek erişimi sorunu vardı. Kötü amaçlı bir web sitesini ziyaret etmek işlem belleğinden web sitesine veri gönderilmesine neden olabiliyordu. Bu sorun bellek sıfırlaması iyileştirilerek ve TIFF görüntülerine ek doğrulama ilave edilerek giderildi.

    CVE kimliği

    CVE-2015-5782: Michal Zalewski

  • IOKit

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlarla oluşturulmuş bir plist'in ayrıştırılması, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir

    Açıklama: Hatalı plist'lerin işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3776: Facebook Security'den Teddy Reed, Jinx Germany'den Patrick Stein (@jollyjinx)

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Bölgede bulunan bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'de arabellek taşması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5774: TaiG Jailbreak Ekibi

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir uygulama çekirdek belleği düzenini belirleyebilir

    Açıklama: mach_port_space_info arabiriminde çekirdek belleği düzeninin açığa çıkmasına neden olan bir sorun vardı. Bu sorun mach_port_space_info arabirimi etkisizleştirilerek giderildi.

    CVE kimliği

    CVE-2015-3766: Alibaba Mobile Security Ekibi'nden Cererdlong

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOKit işlevlerinin işlenmesinde bir tamsayı taşması sorunu vardı. Bu sorun, IOKit API bağımsız değişkenleri için doğrulamanın geliştirilmesiyle giderildi.

    CVE kimliği

    CVE-2015-3768: Ilja van Sprundel

  • Çekirdek

    iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir uygulama arka planda yürütme sınırlamalarını atlayabilir

    Açıklama: Bazı hata ayıklama mekanizmalarında bir erişim sorunu vardı. Bu sorun başka doğrulama denetimleri eklenerek giderildi.

    CVE kimliği

    CVE-2015-5787: FireEye'dan Alessandro Reina, Mattia Pagnozzi ve Stefano Bianchi Mazzone

  • Libc

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlarla oluşturulmuş bir normal ifadeyi işlemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: TRE arşivinde bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3796: Google Project Zero'dan Ian Beer

    CVE-2015-3797: Google Project Zero'dan Ian Beer

    CVE-2015-3798: Google Project Zero'dan Ian Beer

  • Libinfo

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Yetkisiz bir saldırgan uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: AF_INET6 yuvalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5776: Apple

  • libpthread

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Sistem çağrılarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, kilit durumu denetiminin iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2015-5757: Qihoo 360'dan Lufeng Li

  • libxml2

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlarla oluşturulmuş bir XML belgesinin ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

    Açıklama: XML dosyalarının ayrıştırılmasında bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3807: Michal Zalewski

  • libxml2

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Libxml2 2.9.2 sürümünden önceki sürümlerde birden çok güvenlik açığı vardı. Bunlardan en ciddi olanı bir uzak saldırgan tarafından servis reddi oluşturulmasına olanak verebiliyordu

    Açıklama: libxml2 2.9.2 sürümünden önceki sürümlerde birden çok güvenlik açığı vardı. Bu sorun, libxml2 sürümünün 2.9.2'ye güncellenmesiyle giderildi.

    CVE kimliği

    CVE-2014-0191: Google'dan Felix Groebert

    CVE-2014-3660: Google'dan Felix Groebert

  • libxpc

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Hatalı XPC mesajlarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3795: Mathew Rowley

  • Konum Altyapısı

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Bölgede bulunan bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir

    Açıklama: Yol doğrulaması iyileştirilerek bir sembolik bağlantı sorunu giderildi.

    CVE kimliği

    CVE-2015-3759: Alibaba Mobile Security Ekibi'nden Cererdlong

  • MobileInstallation

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir kurumsal uygulama diğer uygulamaların uzantılarını değiştirebilir

    Açıklama: Evrensel hazırlık profili uygulamalarının yüklenme mantığında, mevcut kimlik paketleriyle çakışmaya neden olabilen bir sorun vardı. Bu sorun, kimlik paketi doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5770: FireEye, Inc.'den Zhaofeng Chen, Yulong Zhang ve Tao Wei

  • MSVDX Driver

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir videoyu görüntülemek sistemin beklenmeyen bir biçimde sonlandırılmasına neden olabilir

    Açıklama: Bir servis reddi sorunu belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5769: Qihoo 360 Nirvan Ekibi'nden Proteas

  • Office Viewer

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlarla oluşturulmuş XML dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

    Açıklama: XML dosya ayrıştırmasında harici varlık referansı sorunu vardı. Bu sorun, ayrıştırma işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3784: INTEGRITY S.A.'dan Bruno Morisson

  • QL Office

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlarla oluşturulmuş bir office belgesinin ayrıştırılması, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Office belgelerinin ayrıştırılmasında bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5773: Apple

  • Safari

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir

    Açıklama: Kötü amaçlı bir web sitesi, başka bir web sitesini açabiliyor ve kullanıcıya istemin kaynağını görme olanağı vermeden girdi isteminde bulunabiliyordu. Bu sorun, kullanıcıya istemin kaynağı gösterilerek giderildi.

    CVE kimliği

    CVE-2015-3729: VulnHunt.com'dan Code Audit Labs

  • Safari

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir web sitesi sonsuz sayıda uyarı mesajı görüntülenmesini başlatabilir

    Açıklama: Kötü amaçlı veya izinsiz giriş yapılmış bir web sitesi, sonsuz uyarı mesajı görüntüleyerek kullanıcıların tarayıcılarının kilitlendiğini düşünmelerine neden olabiliyordu. Bu sorun, JavaScript uyarıları kısıtlanarak giderildi.

    CVE kimliği

    CVE-2015-3763

  • Sandbox_profiles

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir uygulama diğer uygulamaların yönetilen tercihlerini okuyabilir

    Açıklama: Üçüncü taraf uygulama korumalı alanında bir sorun vardı. Bu sorun, üçüncü taraf korumalı alan profili iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5749: Appthority Mobility Threat Team'den Andreas Weinlein

  • UIKit WebView

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir uygulama kullanıcı yetkilendirmesi olmadan FaceTime aramaları başlatabilir

    Açıklama: FaceTime URL'lerinin WebViews içinde ayrıştırılmasında bir sorun vardı. Bu sorun, URL doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3758: Salesforce'dan Brian Simmons, Guillaume Ross

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • Web

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir

    Açıklama: Hatalı bir URL'ye gidilmesi kötü amaçlı bir web sitesinin rastgele URL görüntülemesine neden olabiliyordu. Bu sorun, URL'lerin işlenme süreci iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3755: Tencent's Xuanwu Lab'den xisigr

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir web sitesi görüntü verileri çapraz kaynağını çalabilir

    Açıklama: URL'ler aracılığıyla alınan ve bir data:image kaynağına yeniden yönlendirilen görüntüler çapraz kaynaklarda çalınabiliyordu. Bu sorun, canvas taint takibinin iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2015-3753: Adobe'den Antonio Sanso ve Damien Antipa

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir web sitesi HTTP Sıkı Aktarım Güvenliği altındaki bir kaynağa düz metin istekleri gönderilmesini başlatabilir

    Açıklama: İçerik Güvenliği Politikası raporu istekleri HTTP Sıkı Aktarım Güvenliği'ne (HSTS) uymuyordu. Bu sorun, CSP'ye HSTS uygulanarak giderildi.

    CVE kimliği

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Kötü amaçlı bir web sitesi, dokunma hareketinin başka bir sayfada yapay tıklama oluşturmasını sağlayabilir

    Açıklama: Dokunma hareketlerinden yapay tıklama oluşturma işleminde, tıklamaların başka sayfaları hedeflemesine neden olabilen bir sorun vardı. Bu sorun tıklama yayılması sınırlandırılarak giderildi.

    CVE kimliği

    CVE-2015-5759: Sandfield'dan Phillip Moon ve Matt Weston

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: İçerik Güvenliği Politikası raporu istekleri çerezleri sızdırabilir

    Açıklama: İçerik Güvenliği Politikası raporu isteklerine çerezlerin nasıl eklendiğine bağlı iki sorun vardı. Çerezler, standardı ihlal edecek şekilde çapraz kaynak rapor istekleriyle gönderiliyordu. Normal tarama sırasında ayarlanan çerezler özel dolaşma sırasında gönderiliyordu. Bu sorunlar çerezlerin işlenme süreci iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri

    Etki: Görüntü yüklemek bir web sitesinin İçerik Güvenliği Politikası yönergesini ihlal edebilir

    Açıklama: Video denetimlerine sahip web sitelerinin, İçerik Güvenliği Politikası yönergesini ihlal ederek nesne öğelerinde iç içe yerleştirilmiş görüntüleri yüklemesinden kaynaklanan bir sorun vardı. Bu sorun İçerik Güvenliği Politikası'nın zorunlu kılınması durumu iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

FaceTime her ülkede veya bölgede kullanılamaz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: