iOS 9.2'nin güvenlik içeriği hakkında
Bu belgede iOS 9.2'nin güvenlik içeriği açıklanmaktadır.
Apple, müşterilerimizi korumak amacıyla, tam bir inceleme gerçekleştirilip gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Mümkün olan durumlarda, daha detaylı bilgi amacıyla güvenlik açıklarından bahsedilirken CVE Kimlikleri kullanılır.
Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.
iOS 9.2
AppleMobileFileIntegrity
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Erişim kontrolü sorunu, erişim kontrolü yapılarının değiştirilmesi engellenerek giderildi.
CVE kimliği
CVE-2015-7055: Apple
AppSandbox
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama, erişimi iptal edildikten sonra Kişiler'e erişmeye devam edebilir
Açıklama: Korumalı alanın sabit bağlantıları işlemesinde sorun vardı. Bu sorun uygulama koruma alanının güçlendirmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7001: Bükreş POLITEHNICA Üniversitesi'nden Razvan Deaconescu ve Mihai Bucicoiu; North Carolina Devlet Üniversitesi'nden Luke Deshotels ve William Enck; Darmstadt Teknik Üniversitesi'nden Lucas Vincenzo Davi ve Ahmad-Reza Sadeghi
CFNetwork HTTPProtocol
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan HSTS'yi atlayabilir
Açıklama: URL işlemede girdi doğrulama sorunu vardı. Bu sorun, URL doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7094: Muneaki Nishimura (nishimunea) ve Gehirn Inc.'den Tsubasa Iinuma (@llamakko_cafe)
Sıkıştırma
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: zlib'de sıfırlanmamış bellek erişimi sorunu vardı. Bu sorun bellek sıfırlaması iyileştirilerek ve zlib akışlarına ek doğrulama getirilerek giderildi.
CVE kimliği
CVE-2015-7054: j00ru
CoreGraphics
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi, rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Ekibi
CoreMedia Oynatma
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Hatalı ortam dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar bellek işleme iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7074: Apple
CVE-2015-7075
dyld
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: dyld'de birden çok segment doğrulama sorunu vardı. Bu sorunlar ortam temizliği iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7072: Apple
CVE-2015-7079: PanguTeam
GPUTools Framework
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Mobile Replayer'da birden çok yol doğrulama sorunu vardı. Bu sorunlar ortam temizliği iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7069: Luca Todesco (@qwertyoruiop)
CVE-2015-7070: Luca Todesco (@qwertyoruiop)
iBooks
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir iBooks dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: iBook ayrıştırmada bir XML harici varlık referansı sorunu vardı. Bu sorun ayrıştırma işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) ve Patrik Fehrenbach (@ITSecurityguard)
ImageIO
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütmeye neden olabilir
Açıklama: ImageIO'da bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7053: Apple
IOHIDFamily
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily API'de birden çok bellek bozulması sorunu vardı. Bu sorunlar bellek işleme iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7111: BoB'den beist ve ABH
CVE-2015-7112: Google Project Zero'dan Ian Beer
IOKit SCSI
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belirli kullanıcı istemcisi türlerinin işlenmesinde null işaretçi başvurusu vardı. Bu sorun doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7068: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Yerel Bir uygulama, servis reddine neden olabilir
Açıklama: Birden çok servis reddi sorunu bellek işleme iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7040: Qihoo 360 Vulcan Ekibi'nden Lufeng Li
CVE-2015-7041: Qihoo 360 Vulcan Ekibi'nden Lufeng Li
CVE-2015-7042: Qihoo 360 Vulcan Ekibi'nden Lufeng Li
CVE-2015-7043: Tarjei Mandt (@kernelpool)
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte birden fazla bellek bozulması sorunu vardı. Bu sorunlar bellek işleme iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7083: Google Project Zero'dan Ian Beer
CVE-2015-7084: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Mach mesajlarının ayrıştırılmasında sorun vardı. Bu sorun mach mesajlarının doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7047: Google Project Zero'dan Ian Beer
LaunchServices
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Hatalı plist'lerin işlenmesinde bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7113: Free Tools Association'dan Olivier Goguel
libarchive
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Arşivlerin işlenmesinde bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2011-2895: @practicalswift
libc
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir paketin işlenmesi rastgele kod yürütmeye neden olabilir
Açıklama: C standart kütüphanesinde birden çok arabellek taşması vardı. Bu sorunlar sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7038: E. W. Scripps'den Brian D. Wells, Symantec Corporation/Veritas LLC'den Narayan Subramanian
CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)
Giriş 3 Mart 2017 tarihinde güncellendi
libxml2
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir XML belgesini ayrıştırmak kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: XML dosyalarının ayrıştırılmasında bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7115: Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang
CVE-2015-7116: Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang
MobileStorageMounter
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Güven önbelleğinin yüklenmesinde zamanlama sorunu vardı. Bu sorun güven önbelleği yüklenmeden önce sistem ortamı doğrulanarak giderildi.
CVE kimliği
CVE-2015-7051: PanguTeam
OpenGL
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: OpenGL'de birden çok bellek bozulması sorunu vardı. Bu sorunlar bellek işleme iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7064: Apple
CVE-2015-7065: Apple
CVE-2015-7066: Palo Alto Networks'ten Tongbo Luo ve Bo Qu
Fotoğraflar
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir saldırgan, dosya sisteminin sınırlanmış alanlarına erişmek için yedekleme sistemini kullanabilir
Açıklama: Mobile Backup'ta yol doğrulama sorunu vardı. Bu sorun ortam temizliği iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7037: PanguTeam
QuickLook
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçla oluşturulmuş bir iWork dosyasının açılması rastgele kod yürütülmesine neden olabilir
Açıklama: iWork dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7107
Safari
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir
Açıklama: Sorun, bir web sitesinin farklı bir web sitesinden gelen URL ile içerik görüntülemesine izin verebilmesiydi. Bu sorun, URL'lerin işlenme süreci iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7093: Tencent's Xuanwu LAB'den xisigr (www.tencent.com)
Korumalı alan
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kök ayrıcalıkları olan kötü amaçlı bir uygulama, çekirdek adres alanı rastgele düzen korumasını atlayabilir
Açıklama: xnu'da yetersiz ayrıcalık ayırma sorunu vardı. Bu sorun yetkilendirme denetimleri iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7046: Apple
Güvenlik
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: SSL anlaşmalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7073: ZeroC, Inc.'ten Benoit Foucher
Güvenlik
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama bir kullanıcının Anahtar Zinciri öğelerine erişebilir
Açıklama: Anahtar zinciri öğeleri için erişim kontrol listelerinin doğrulanmasında sorun vardı. Bu sorun erişim kontrol listesi denetimleri iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7058
Siri
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: iOS aygıtına fiziksel olarak erişebilen kişi, kilitli ekranda gösterilmeyecek şekilde ayarlanan içerik bildirimlerini Siri'yi kullanarak okuyabilir
Açıklama: Siri'den bir istekte bulunulduğunda istemci tarafındaki sınırlamalar sunucu tarafından kontrol edilmiyordu. Bu sorun sınırlama denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7080: Or Safran (www.linkedin.com/profile/view?id=33912591)
WebKit
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar bellek işleme iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7048: Apple
CVE-2015-7095: Apple
CVE-2015-7096: Apple
CVE-2015-7097: Apple
CVE-2015-7098: Apple
CVE-2015-7099: Apple
CVE-2015-7100: Apple
CVE-2015-7101: Apple
CVE-2015-7102: Apple
CVE-2015-7103: Apple
WebKit
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi kullanıcının tarama geçmişini açığa çıkarabilir
Açıklama: İçerik engellemede yetersiz girdi doğrulama sorunu vardı. Bu sorun içerik uzantısı ayrıştırma işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7050: Luke Li ve Jonathan Metzman
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.