iOS 8.4.1'in güvenlik içeriği hakkında
Bu belgede iOS 8.4.1'in güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.
Diğer güvenlik güncellemeleri hakkında daha fazla bilgi için Apple güvenlik güncellemeleri başlıklı makaleye bakın.
iOS 8.4.1
AppleFileConduit
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı olarak oluşturulmuş bir afc komutu, dosya sisteminin korumalı bölümlerine erişime izin verebilir
Açıklama: afc'nin simgesel bağlantı sağlama mekanizmasında bir sorun vardı. Bu sorun ek yol denetimleri ilave edilerek giderildi.
CVE kimliği
CVE-2015-5746: evad3rs, TaiG Jailbreak Ekibi
Air Traffic
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Air Traffic, dosya sisteminin korumalı bölümlerine erişime izin verebilir
Açıklama: Varlıkların işlenmesinde çapraz yol geçişi sorunu vardı. Bu sorun, doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5766: TaiG Jailbreak Ekibi
Yedekleme
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir uygulama, diskin korumalı bölümlerine sembolik bağlantılar oluşturabilir
Açıklama: Sembolik bağlantıların yol doğrulama mantığında bir sorun vardı. Bu sorun, yol temizleme işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5752: TaiG Jailbreak Ekibi
bootp
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Bir saldırgan bir aygıtın daha önce eriştiği Wi-Fi ağlarını belirleyebilir
Açıklama: Bir Wi-Fi ağına bağlanıldığında daha önce erişilen ağların MAC adresleri yayınlanmış olabilir. Bu sorun yalnızca geçerli SSID ile ilişkili MAC adresleri yayınlanarak giderildi.
CVE kimliği
CVE-2015-3778: Oxford Internet Institute'dan Piers O'Hanlon, Oxford Üniversitesi (EPSRC Being There projesi)
Certificate UI
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, güvenilmeyen sertifikaları kilit ekranından kabul edebilir
Açıklama: Aygıt, kilitli durumdayken belirli şartlar altında bir sertifika güven sorgu kutusu görüntüleyebilir. Bu sorun, durum yönetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3756: NCC Group'tan Andy Grant
CloudKit
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir uygulama, daha önce giriş yapan bir kullanıcının iCloud kullanıcı kaydına erişebilir
Açıklama: Kullanıcılar çıkış yaparken CloudKit'te bir durum tutarsızlığı sorunu vardı. Bu sorun, durum işlemesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3782: University of Toronto'dan Deepkanwal Plaha
CFPreferences
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir uygulama diğer uygulamaların yönetilen tercihlerini okuyabilir
Açıklama: Üçüncü taraf uygulama korumalı alanında bir sorun vardı. Bu sorun, üçüncü taraf korumalı alan profili iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3793: Appthority Mobility Threat Team'den Andreas Weinlein
Kod İmzalama
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir uygulama imzalanmamış kod yürütebilir
Açıklama: Özel olarak oluşturulmuş bir çalıştırılabilir dosyada, imzalanmış koda imzalanmamış kod eklenmesine izin veren bir sorun vardı. Bu sorun, imza doğrulama kodunun geliştirilmesiyle giderildi.
CVE kimliği
CVE-2015-3806: TaiG Jailbreak Ekibi
Kod İmzalama
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Özel olarak oluşturulmuş bir çalıştırılabilir dosya, imzalanmamış, kötü amaçlı kodların yürütülmesine izin verebilir
Açıklama: Çoklu mimari özelliğine sahip çalıştırılabilir dosyaların değerlendirilmesinde, imzalanmamış kodların yürütülmesine izin verebilen bir sorun vardı. Bu sorun, çalıştırılabilir dosyalarının doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3803: TaiG Jailbreak Ekibi
Kod İmzalama
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Bölgede bulunan bir kullanıcı, imzalanmamış kod çalıştırabilir
Açıklama: Mach-O dosyalarının işlenmesinde bir doğrulama sorunu vardı. Bu sorun ek denetimler ilave edilerek giderildi.
CVE kimliği
CVE-2015-3802: TaiG Jailbreak Ekibi
CVE-2015-3805: TaiG Jailbreak Ekibi
CoreMedia Oynatma
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: CoreMedia Oynatma'da bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Ekibi
CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Ekibi
DiskImages
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir DMG dosyasını işlemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir
Açıklama: Hatalı DMG görüntülerinin ayrıştırılmasında bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3800: Yahoo Pentest Ekibi'nden Frank Graziano
FontParser
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3804: Apple
CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Ekibi
CVE-2015-5775: Apple
ImageIO
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir tiff dosyasını işlemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: .tiff dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5758: Apple
ImageIO
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: ImageIO'nun PNG görüntülerini işlemesinde sıfırlanmamış bellek erişimi sorunu vardı. Kötü amaçlı bir web sitesini ziyaret etmek işlem belleğinden web sitesine veri gönderilmesine neden olabiliyordu. Bu sorun, bellek sıfırlaması iyileştirilerek ve PNG görüntülerine ek doğrulama ilave edilerek giderildi.
CVE kimliği
CVE-2015-5781: Michal Zalewski
ImageIO
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: ImageIO'nun TIFF görüntülerini işlemesinde sıfırlanmamış bellek erişimi sorunu vardı. Kötü amaçlı bir web sitesini ziyaret etmek işlem belleğinden web sitesine veri gönderilmesine neden olabiliyordu. Bu sorun bellek sıfırlaması iyileştirilerek ve TIFF görüntülerine ek doğrulama ilave edilerek giderildi.
CVE kimliği
CVE-2015-5782: Michal Zalewski
IOKit
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir plist'in ayrıştırılması, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir
Açıklama: Hatalı plist'lerin işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3776: Facebook Security'den Teddy Reed, Jinx Germany'den Patrick Stein (@jollyjinx)
IOHIDFamily
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Bölgede bulunan bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'de arabellek taşması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5774: TaiG Jailbreak Ekibi
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir uygulama çekirdek belleği düzenini belirleyebilir
Açıklama: mach_port_space_info arabiriminde çekirdek belleği düzeninin açığa çıkmasına neden olan bir sorun vardı. Bu sorun mach_port_space_info arabirimi etkisizleştirilerek giderildi.
CVE kimliği
CVE-2015-3766: Alibaba Mobile Security Ekibi'nden Cererdlong
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOKit işlevlerinin işlenmesinde bir tamsayı taşması sorunu vardı. Bu sorun, IOKit API bağımsız değişkenleri için doğrulamanın geliştirilmesiyle giderildi.
CVE kimliği
CVE-2015-3768: Ilja van Sprundel
Çekirdek
iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir uygulama arka planda yürütme sınırlamalarını atlayabilir
Açıklama: Bazı hata ayıklama mekanizmalarında bir erişim sorunu vardı. Bu sorun başka doğrulama denetimleri eklenerek giderildi.
CVE kimliği
CVE-2015-5787: FireEye'dan Alessandro Reina, Mattia Pagnozzi ve Stefano Bianchi Mazzone
Libc
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir normal ifadeyi işlemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: TRE arşivinde bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3796: Google Project Zero'dan Ian Beer
CVE-2015-3797: Google Project Zero'dan Ian Beer
CVE-2015-3798: Google Project Zero'dan Ian Beer
Libinfo
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Yetkisiz bir saldırgan uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: AF_INET6 yuvalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5776: Apple
libpthread
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sistem çağrılarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, kilit durumu denetiminin iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2015-5757: Qihoo 360'dan Lufeng Li
libxml2
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir XML belgesinin ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: XML dosyalarının ayrıştırılmasında bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3807: Michal Zalewski
libxml2
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Libxml2 2.9.2 sürümünden önceki sürümlerde birden çok güvenlik açığı vardı. Bunlardan en ciddi olanı bir uzak saldırgan tarafından servis reddi oluşturulmasına olanak verebiliyordu
Açıklama: libxml2 2.9.2 sürümünden önceki sürümlerde birden çok güvenlik açığı vardı. Bu sorun, libxml2 sürümünün 2.9.2'ye güncellenmesiyle giderildi.
CVE kimliği
CVE-2014-0191: Google'dan Felix Groebert
CVE-2014-3660: Google'dan Felix Groebert
libxpc
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Hatalı XPC mesajlarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3795: Mathew Rowley
Konum Altyapısı
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Bölgede bulunan bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: Yol doğrulaması iyileştirilerek bir sembolik bağlantı sorunu giderildi.
CVE kimliği
CVE-2015-3759: Alibaba Mobile Security Ekibi'nden Cererdlong
MobileInstallation
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir kurumsal uygulama diğer uygulamaların uzantılarını değiştirebilir
Açıklama: Evrensel hazırlık profili uygulamalarının yüklenme mantığında, mevcut kimlik paketleriyle çakışmaya neden olabilen bir sorun vardı. Bu sorun, kimlik paketi doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5770: FireEye, Inc.'den Zhaofeng Chen, Yulong Zhang ve Tao Wei
MSVDX Driver
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir videoyu görüntülemek sistemin beklenmeyen bir biçimde sonlandırılmasına neden olabilir
Açıklama: Bir servis reddi sorunu belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5769: Qihoo 360 Nirvan Ekibi'nden Proteas
Office Viewer
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş XML dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: XML dosya ayrıştırmasında harici varlık referansı sorunu vardı. Bu sorun, ayrıştırma işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3784: INTEGRITY S.A.'dan Bruno Morisson
QL Office
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir office belgesinin ayrıştırılması, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Office belgelerinin ayrıştırılmasında bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5773: Apple
Safari
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir
Açıklama: Kötü amaçlı bir web sitesi, başka bir web sitesini açabiliyor ve kullanıcıya istemin kaynağını görme olanağı vermeden girdi isteminde bulunabiliyordu. Bu sorun, kullanıcıya istemin kaynağı gösterilerek giderildi.
CVE kimliği
CVE-2015-3729: VulnHunt.com'dan Code Audit Labs
Safari
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir web sitesi sonsuz sayıda uyarı mesajı görüntülenmesini başlatabilir
Açıklama: Kötü amaçlı veya izinsiz giriş yapılmış bir web sitesi, sonsuz uyarı mesajı görüntüleyerek kullanıcıların tarayıcılarının kilitlendiğini düşünmelerine neden olabiliyordu. Bu sorun, JavaScript uyarıları kısıtlanarak giderildi.
CVE kimliği
CVE-2015-3763
Sandbox_profiles
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir uygulama diğer uygulamaların yönetilen tercihlerini okuyabilir
Açıklama: Üçüncü taraf uygulama korumalı alanında bir sorun vardı. Bu sorun, üçüncü taraf korumalı alan profili iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5749: Appthority Mobility Threat Team'den Andreas Weinlein
UIKit WebView
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir uygulama kullanıcı yetkilendirmesi olmadan FaceTime aramaları başlatabilir
Açıklama: FaceTime URL'lerinin WebViews içinde ayrıştırılmasında bir sorun vardı. Bu sorun, URL doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3758: Salesforce'dan Brian Simmons, Guillaume Ross
WebKit
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3730: Apple
CVE-2015-3731: Apple
CVE-2015-3732: Apple
CVE-2015-3733: Apple
CVE-2015-3734: Apple
CVE-2015-3735: Apple
CVE-2015-3736: Apple
CVE-2015-3737: Apple
CVE-2015-3738: Apple
CVE-2015-3739: Apple
CVE-2015-3740: Apple
CVE-2015-3741: Apple
CVE-2015-3742: Apple
CVE-2015-3743: Apple
CVE-2015-3744: Apple
CVE-2015-3745: Apple
CVE-2015-3746: Apple
CVE-2015-3747: Apple
CVE-2015-3748: Apple
CVE-2015-3749: Apple
Web
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir
Açıklama: Hatalı bir URL'ye gidilmesi kötü amaçlı bir web sitesinin rastgele URL görüntülemesine neden olabiliyordu. Bu sorun, URL'lerin işlenme süreci iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3755: Tencent's Xuanwu Lab'den xisigr
WebKit
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir web sitesi görüntü verileri çapraz kaynağını çalabilir
Açıklama: URL'ler aracılığıyla alınan ve bir data:image kaynağına yeniden yönlendirilen görüntüler çapraz kaynaklarda çalınabiliyordu. Bu sorun, canvas taint takibinin iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2015-3753: Adobe'den Antonio Sanso ve Damien Antipa
WebKit
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir web sitesi HTTP Sıkı Aktarım Güvenliği altındaki bir kaynağa düz metin istekleri gönderilmesini başlatabilir
Açıklama: İçerik Güvenliği Politikası raporu istekleri HTTP Sıkı Aktarım Güvenliği'ne (HSTS) uymuyordu. Bu sorun, CSP'ye HSTS uygulanarak giderildi.
CVE kimliği
CVE-2015-3750: Muneaki Nishimura (nishimunea)
WebKit
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Kötü amaçlı bir web sitesi, dokunma hareketinin başka bir sayfada yapay tıklama oluşturmasını sağlayabilir
Açıklama: Dokunma hareketlerinden yapay tıklama oluşturma işleminde, tıklamaların başka sayfaları hedeflemesine neden olabilen bir sorun vardı. Bu sorun tıklama yayılması sınırlandırılarak giderildi.
CVE kimliği
CVE-2015-5759: Sandfield'dan Phillip Moon ve Matt Weston
WebKit
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: İçerik Güvenliği Politikası raporu istekleri çerezleri sızdırabilir
Açıklama: İçerik Güvenliği Politikası raporu isteklerine çerezlerin nasıl eklendiğine bağlı iki sorun vardı. Çerezler, standardı ihlal edecek şekilde çapraz kaynak rapor istekleriyle gönderiliyordu. Normal tarama sırasında ayarlanan çerezler özel dolaşma sırasında gönderiliyordu. Bu sorunlar çerezlerin işlenme süreci iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3752: Muneaki Nishimura (nishimunea)
WebKit
İlgili ürünler: iPhone 4s ve sonraki sürümleri, iPod touch (5. nesil) ve sonraki sürümleri, iPad 2 ve sonraki sürümleri
Etki: Görüntü yüklemek bir web sitesinin İçerik Güvenliği Politikası yönergesini ihlal edebilir
Açıklama: Video denetimlerine sahip web sitelerinin, İçerik Güvenliği Politikası yönergesini ihlal ederek nesne öğelerinde iç içe yerleştirilmiş görüntüleri yüklemesinden kaynaklanan bir sorun vardı. Bu sorun İçerik Güvenliği Politikası'nın zorunlu kılınması durumu iyileştirilerek giderildi.
CVE kimliği
CVE-2015-3751: Muneaki Nishimura (nishimunea)
FaceTime her ülkede veya bölgede kullanılamaz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.