iOS 9'un güvenlik içeriği hakkında
Bu belgede iOS 9'un güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.
iOS 9
Apple Pay
İlgili ürünler: iPhone 6 ve iPhone 6 Plus
Etki: Bazı kartlar, ödeme yapılırken son işlem bilgilerini terminallerin sınırlı ölçüde elde etmesine izin verebilir
Açıklama: Belirli konfigürasyonlarda işlem günlüğü işlevleri etkinleştirilmişti. İşlem günlüğü işlevi kaldırılarak bu sorun giderildi. iPad aygıtları bu sorundan etkilenmemiştir.
CVE kimliği
CVE-2015-5916
AppleKeyStore
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir saldırgan bir iOS yedeklemesindeki hatalı parola girişimlerini sıfırlayabilir
Açıklama: iOS aygıtının yedeklemesindeki hatalı parola girişimlerinin sıfırlanmasında bir sorun vardı. Parola hatası mantığı iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5850: Anonim bir araştırmacı
Uygulama Mağazası
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir ITMS bağlantısını tıklamak kurumsal imzalı bir uygulamada hizmet reddine neden olabilir
Açıklama: ITMS bağlantıları aracılığıyla yükleme yapmayla ilgili bir sorun vardı. Ek yükleme doğrulaması aracılığıyla bu sorun giderildi.
CVE kimliği
CVE-2015-5856: FireEye, Inc.'den Zhaofeng Chen, Hui Xue ve Tao (Lenx) Wei
Ses
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir ses dosyasının çalınması uygulamanın beklenmedik bir şekilde sona ermesine neden olabilir
Açıklama: Ses dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5862: Information Security Lab'den YoungJin Yoon (Danışman: Prof. Taekyoung Kwon), Yonsei University, Seul, Kore
Sertifika Güven Politikası
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Sertifika güven politikasında güncelleme
Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi şu adreste görüntülenebilir: https://support.apple.com/tr-tr/HT204132.
CFNetwork
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir URL, HTTP Sıkı Aktarım Güvenliği'ni (HSTS) atlayabilir ve gizli verileri sızdırabilir
Açıklama: HSTS'nin işlenmesinde URL'lerin ayrıştırılmasıyla ilgili bir güvenlik açığı vardı. URL'leri ayrıştırma işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5858: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University
CFNetwork
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir web sitesi, Safari'nin Özel Dolaşma Modu'nu kullanan kullanıcıları izleyebilir
Açıklama: Safari'nin özel dolaşma modunda HSTS durumunun işlenmesiyle ilgili bir sorun vardı. Durum işlemesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5860: RadicalResearch Ltd'den Sam Greenhalgh
CFNetwork
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: iOS aygıtına fiziksel olarak erişebilen bir kişi, Apple uygulamalarındaki önbellek verilerini okuyabilir
Açıklama: Önbellek verileri, sadece donanım UID'si tarafından korunan bir anahtarla şifreleniyordu. Önbellek verilerinin, donanım UID'si tarafından korunan bir anahtar ve kullanıcı parolası ile şifrelenmesi sağlanarak bu sorun giderildi.
CVE kimliği
CVE-2015-5898: NESO Security Labs'den Andreas Kurtz
CFNetwork Çerezleri
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcının etkinliklerini izleyebilir
Açıklama: En üst düzeydeki etki alanlarının işlenmesinde etki alanları arası bir çerez sorunu vardı. Çerez oluşturma sınırlamaları iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5885: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University
CFNetwork Çerezleri
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bir saldırgan, bir web sitesi için istenmeyen çerezler oluşturabilir
Açıklama: WebKit, document.cookie API'sinde birden fazla çerezin ayarlanmasını kabul ediyordu. Ayrıştırma işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-3801: Facebook'tan Erling Ellingsen
CFNetwork FTPProtocol
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı FTP sunucuları, istemcinin diğer ana bilgisayarlarla ilgili bilgi toplamasına neden olabilir
Açıklama: PASV komutu kullanılırken FTP paketlerinin işlenmesinde sorun vardı. Doğrulama iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan ağ trafiğini ele geçirebilir
Açıklama: Safari'nin özel dolaşma modunda HSTS önyükleme listesi girişlerinin işlenmesiyle ilgili bir sorun vardı. Durum işlemesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5859: University of Luxembourg'dan Rosario Giustolisi
CFNetwork Proxy'ler
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir web proxy'sine bağlanılması bir web sitesi için kötü amaçlı çerezler ayarlayabilir
Açıklama: Proxy bağlantı yanıtlarının işlenmesinde bir sorun vardı. Bağlantı yanıtı ayrıştırılırken ayarlanan çerez başlığı kaldırılarak bu sorun giderildi.
CVE kimliği
CVE-2015-5841: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University
CFNetwork SSL
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, SSL/TLS bağlantılarına erişim sağlayabilir
Açıklama: NSURL'de, bir sertifika değiştiğinde oluşan bir sertifika doğrulama sorunu vardı. Sertifika doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5824: The Omni Group'tan Timothy J. Wood
CFNetwork SSL
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bir saldırgan SSL ile korunan verilerin şifresini çözebilir
Açıklama: RC4'ün gizliliğine yönelik saldırılar olduğu biliniyordu. Bir saldırgan, sunucu daha iyi şifreleri tercih etse bile, CFNetwork yalnızca RC4'e izin veren SSL 3.0'ı deneyinceye kadar TLS 1.0 ve daha yüksek bağlantıları engelleyerek RC4 kullanılmasını zorunlu bırakabilir. SSL 3.0'a geri dönme işlemi kaldırılarak bu sorun giderildi.
CoreAnimation
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, gizli kullanıcı bilgilerini sızdırabilir
Açıklama: Uygulamalar arka planda çalışırken ekranın çerçeve arabelleğine erişebiliyordu. IOSurface'lerde erişim denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5880: School of Information Systems Singapore Management University'den Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li, Infocomm Research Cryptography and Security Department Institute'tan Feng Bao ve Jianying Zhou
CoreCrypto
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bir saldırgan, bir özel anahtarı belirleyebilir
Açıklama: Bir saldırgan, çok sayıda oturum açma ve şifre çözme girişimini gözlemleyerek RSA özel anahtarını belirleyebiliyordu. Şifreleme algoritmaları iyileştirilerek bu sorun giderildi.
CoreText
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Veri Sensörleri Motoru
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Metin dosyalarının işlenmesinde bellek bozulması sorunları vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.
CVE kimliği
CVE-2015-5829: Safeye Team'den (www.safeye.org) M1x7e1
Dev Tools
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: dyld'de bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5876: grayhash'ten beist
Disk Görüntüleri
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir kullanıcı sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: DiskImages'da bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bir uygulama kod imzalamayı atlayabilir
Açıklama: Çalıştırılabilir dosyaların kod imzasının doğrulanmasında bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
Game Center
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir Game Center uygulaması bir kullanıcının e-posta adresine erişebilir
Açıklama: Game Center'ın kullanıcıların e-postalarını işlemesinde bir sorun vardı. Erişim sınırlamaları iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5855: Nasser Alnasser
ICU
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: ICU'da birden fazla güvenlik açığı
Açıklama: ICU 53.1.0 sürümünden önceki sürümlerde birden fazla güvenlik açığı vardı. ICU sürümünün 55.1'e güncellenmesiyle bu sorunlar giderildi.
CVE kimliği
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Google Project Zero'dan Mark Brand
IOAcceleratorFamily
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir
Açıklama: Çekirdek bellek içeriğinin açığa çıkmasına neden olan bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5834: Alibaba Mobile Security Team'den Cererdlong
IOAcceleratorFamily
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir kullanıcı sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOAcceleratorFamily'de bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5848: Filippo Bigarella
IOHIDFamily
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'de bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5867: Trend Micro'dan moony li
IOKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir kullanıcı sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOMobileFrameBuffer'da bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir saldırgan, çekirdek belleğini okuyabilir
Açıklama: Çekirdekte bir bellek başlatma sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5863: IOActive'den Ilja van Sprundel
iTunes Store
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Çıkış yaptıktan sonra anahtar zincirinde Apple Kimliği bilgileri kalabilir
Açıklama: Anahtar zincirinin silinmesinde bir sorun vardı. Hesap temizleme işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5832: Check Point Software Technologies'den Kasif Dekel
JavaScriptCore
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'te bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.
CVE kimliği
CVE-2015-5791: Apple
CVE-2015-5793: Apple
CVE-2015-5814: Apple
CVE-2015-5816: Apple
CVE-2015-5822: Google'dan Mark S. Miller
CVE-2015-5823: Apple
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5868: Alibaba Mobile Security Team'den Cererdlong
CVE-2015-5896: m00nbsd'den Maxime Villard
CVE-2015-5903: CESG
Giriş güncellenme tarihi: 21 Aralık 2016
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir saldırgan, kontrol amaçlı yığın çerezlerinin değerini kontrol edebilir
Açıklama: Kullanıcı alanında kontrol amaçlı yığın çerezlerinin oluşturulmasında birden fazla güvenlik açığı vardı. Kontrol amaçlı yığın çerezi oluşturma işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2013-3951: Stefan Esser
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir işlem, yetki denetimleri olmadan diğer işlemleri değiştirebilir
Açıklama: processor_set_tasks API'sı kullanan kök işlemlerin diğer işlemlerin görev bağlantı noktalarını öğrenmesine olanak veren bir sorun vardı. Yetki denetimleri artırılarak bu sorun giderildi.
CVE kimliği
CVE-2015-5882: Pedro Vilaça, Ming-chieh Pan ve Sung-ting Tsai tarafından gerçekleştirilen özgün araştırma temel alınmıştır; Jonathan Levin
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bir saldırgan doğru sıra numarasını bilmeden, hedeflenen TCP bağlantılarında hizmet reddi saldırıları başlatabilir
Açıklama: xnu'nun TCP paket başlıklarını doğrulamasında bir sorun vardı. TCP paket başlığı doğrulaması iyileştirilerek bu sorunlar giderildi.
CVE kimliği
CVE-2015-5879: Jonathan Looney
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel LAN bölümündeki bir saldırgan IPv6 yönlendirmesini etkisizleştirebilir
Açıklama: IPv6 yöneltici tanıtımlarının işlenmesinde bir saldırganın, atlama sınırını rastgele bir değere ayarlamasına izin veren bir yetersiz doğrulama sorunu vardı. Minimum atlama sınırı uygulanarak bu sorun giderildi.
CVE kimliği
CVE-2015-5869: Dennis Spindel Ljungmark
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir
Açıklama: XNU'da çekirdek belleğin açığa çıkmasına neden olan bir sorun vardı. Çekirdek bellek yapılarının başlatılması iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5842: grayhash'ten beist
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir
Açıklama: HFS sürücüsü bağlama işleminde bir sorun vardı. Doğrulama denetimleri artırılarak bu sorun giderildi.
CVE kimliği
CVE-2015-5748: m00nbsd'den Maxime Villard
libc
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir
Açıklama: fflush işlevinde bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-8611: Norse Corporation'dan Adrian Chadd ve Alfred Perlstein
libpthread
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5899: Qihoo 360 Vulcan Team'den Lufeng Li
Mail
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bir saldırgan, alıcının adres defterindeki bir kişiden geliyormuş gibi görünen e-postalar gönderebilir
Açıklama: Gönderenlerin adreslerinin işlenmesinde bir sorun vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5857: salesforce.com'dan Emre Sağlam
Birden Fazla Eş Bağlantısı
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir saldırgan korunmayan birden fazla eşe ait verileri izleyebilir
Açıklama: Yardımcı başlatıcı işlenmesinde, şifreleme düzeyinin şifrelenmemiş oturuma etkin bir şekilde düşürülmesine olanak veren bir sorun vardı. Yardımcı başlatıcı şifreleme gerektirecek şekilde değiştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5851: Data Theorem'den Alban Diquet (@nabla_c0d3)
NetworkExtension
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir
Açıklama: Çekirdekteki bir başlatılmamış bellek sorunu, çekirdek bellek içeriğinin açığa çıkmasına neden oluyordu. Bellek başlatılarak bu sorun giderildi.
CVE kimliği
CVE-2015-5831: m00nbsd'den Maxime Villard
OpenSSL
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: OpenSSL'de birden fazla güvenlik açığı
Açıklama: OpenSSL 0.9.8zg sürümünden önceki sürümlerde birden fazla güvenlik açığı vardı. OpenSSL 0.9.8zg sürümüne güncellenerek bu sorunlar giderildi.
CVE kimliği
CVE-2015-0286
CVE-2015-0287
PluginKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı olarak oluşturulmuş bir kurumsal uygulama, güvenilir olduğu belirlenmeden önce genişletme yükleyebilir
Açıklama: Yükleme sırasında genişletmelerin doğrulanmasında bir sorun vardı. Uygulama doğrulaması iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5837: FireEye, Inc.'den Zhaofeng Chen, Hui Xue ve Tao (Lenx) Wei
removefile
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı verilerin işlenmesi uygulamanın beklenmedik şekilde sona ermesine neden olabilir
Açıklama: checkint bölme yordamlarında bir taşma hatası vardı. Bölme yordamları iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5840: Anonim bir araştırmacı
Safari
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir kullanıcı kilitli bir iOS aygıtındaki Safari yer imlerini parola olmadan okuyabilir
Açıklama: Safari yer imi verileri, sadece donanım UID'si tarafından korunan bir anahtarla şifreleniyordu. Safari yer imi verilerinin, donanım UID'si tarafından korunan bir anahtar ve kullanıcının parolası ile şifrelenmesi sağlanarak bu sorun giderildi.
CVE kimliği
CVE-2015-7118: Jonathan Zdziarski
Giriş güncellenme tarihi: 21 Aralık 2016
Safari
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir
Açıklama: Bir sorun, bir web sitesinin farklı bir web sitesinden gelen URL ile içerik görüntülemesine izin verebiliyordu. URL'lerin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5904: Facebook'dan Erling Ellingsen, Łukasz Pilorz
Safari
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir
Açıklama: Yanlış oluşturulmuş bir pencere açıcı ile kötü amaçlı bir web sitesine gidilmesi rastgele URL'lerin görüntülenmesine izin verebiliyordu. Pencere açıcıların işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5905: keitahaga.com'dan Keita Haga
Safari
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kullanıcılar, istemci sertifikalarını kullanan kötü amaçlı web siteleri tarafından izlenebilir
Açıklama: Safari'nin SSL kimlik doğrulaması için eşleşen istemci sertifikalarında sorun vardı. Geçerli istemci sertifikalarının eşlemesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-1129: fluid Operations AG'den Stefan Kraus, Whatever s.a.'dan Sylvain Munaut
Safari
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir
Açıklama: Birden fazla kullanıcı arabirimi tutarsızlığı kötü amaçlı bir web sitesinin rastgele URL görüntülemesine neden olabilir. URL görüntüleme mantığı iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5764: Adobe'dan Antonio Sanso (@asanso)
CVE-2015-5765: Ron Masas
CVE-2015-5767: Secunia aracılığıyla Krystian Kloskowski, Masato Kinugawa
Safari Güvenli Dolaşma
iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı olduğu bilinen bir web sitesinin IP adresine gitmek güvenlik uyarısı başlatmayabilir
Açıklama: Safari'nin Güvenli Dolaşma özelliği, kullanıcıları kendi IP adresleriyle kötü amaçlı olduğu bilinen web sitelerini ziyaret ettiklerinde uyarmıyordu. Kötü amaçlı siteleri algılama işlemi iyileştirilerek bu sorun giderildi.
TagsDock'dan Rahul M
Güvenlik
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, uygulamalar arasındaki iletişimleri dinleyebilir
Açıklama: Kötü amaçlı bir uygulamanın uygulamalar arasındaki URL düzeni iletişimlerini dinlemesine izin veren bir sorun vardı. URL düzeni ilk defa kullanıldığında bir iletişim kutusu görüntülenerek bu sorun azaltıldı.
CVE kimliği
CVE-2015-5835: FiftyTwoDegreesNorth B.V.'den Teun van Run; Indiana University'den XiaoFeng Wang, Indiana University'den Luyi Xing, Peking University'den Tongxin Li, Peking University'den Tongxin Li, Tsinghua University'den Xiaolong Bai
Siri
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: iOS aygıtına fiziksel olarak erişebilen bir kişi, kilitli ekranda gösterilmeyecek şekilde ayarlanan içerik bildirimlerini Siri'yi kullanarak okuyabilir
Açıklama: Siri'den bir istekte bulunulduğunda istemci tarafındaki sınırlamalar sunucu tarafından kontrol edilmiyordu. Sınırlama denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5892: Robert S Mozayeni, Joshua Donvito
SpringBoard
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: iOS aygıtına fiziksel olarak erişebilen bir kişi, kilit ekranındaki mesaj önizlemeleri etkisizleştirildiğinde sesli bir mesaja kilit ekranından yanıt verebilir
Açıklama: Kilit ekranındaki bir sorun, mesaj önizlemeleri etkisizleştirildiğinde kullanıcıların sesli mesajları yanıtlamasına izin verebiliyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5861: Meridian Apps'den Daniel Miedema
SpringBoard
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama başka bir uygulamanın iletişim pencerelerini yanıltabilir
Açıklama: Ayrıcalıklı API çağrılarında bir erişim sorunu vardı. Ek kısıtlamalarla bu sorun giderildi.
CVE kimliği
CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui
SQLite
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: SQLite 3.8.5'te birden fazla güvenlik açığı
Açıklama: SQLite 3.8.5'te birden fazla güvenlik açığı vardı. Bu sorunlar SQLite sürümü 3.8.10.2'ye güncellenerek giderildi.
CVE kimliği
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Tidy'de bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5522: NULLGroup.com'dan Fernando Muñoz
CVE-2015-5523: NULLGroup.com'dan Fernando Muñoz
WebKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Nesne referansları; özel etkinlikler, mesaj etkinlikleri ve açılır durumdaki etkinliklerde belirlenen kaynaklar arasında sızdırılabilir
Açıklama: Nesne sızdırma sorunu kaynaklar arasındaki belirleme sınırını kaldırabilir. Kaynaklar arasındaki belirleme işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5827: Gildas
WebKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'te bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.
CVE kimliği
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5792: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
WebKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi istenmeyen bir arama yapılmasına neden olabilir
Açıklama: tel://, facetime:// ve facetime-audio:// URL'lerinin işlenmesinde bir sorun vardı. URL'lerin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5820: Andrei Neculaesei, Guillaume Ross
WebKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: QuickType, doldurulmuş bir web formundaki parolanın son karakterini öğrenebilir
Açıklama: WebKit'in parola girdi bağlamını işlemesinde bir sorun vardı. Girdi bağlamı işlemesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5906: Google Inc.'den Louis Romero
WebKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, bağlantıları kötü amaçlı bir etki alanına yeniden yönlendirebilir
Açıklama: Geçersiz sertifikaya sahip sitelerdeki kaynak önbelleklerinin işlenmesinde bir sorun vardı. geçersiz sertifikaya sahip etki alanlarının uygulama önbelleği reddedilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5907: National University of Singapore'dan (NUS) Yaoqi Jia
WebKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir
Açıklama: Safari, çapraz kaynak stil sayfalarının, çapraz kaynak verilerinin çalınmasına neden olabilen CSS MIME olmayan türler ile yüklenmesine izin veriyordu. Çapraz kaynak stil sayfaları için MIME türleri sınırlandırarak bu sorun giderildi.
CVE kimliği
CVE-2015-5826: filedescriptor, Chris Evans
WebKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Performance API'sı kötü amaçlı bir web sitesinin tarama geçmişini, ağ etkinliğini ve fare hareketlerini sızdırmasına izin verebilir
Açıklama: WebKit'in Performance API'sı, kötü amaçlı bir web sitesinin, tarama geçmişini, ağ etkinliğini ve fare hareketlerini zaman ölçümleri aracılığıyla sızdırmasına olanak verebiliyordu. Zaman çözünürlüğü sınırlandırılarak bu sorun giderildi.
CVE kimliği
CVE-2015-5825: Columbia Üniversitesi Ağ Güvenliği Laboratuvarı'ndan Yossi Oren ve ark.
WebKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Tür ilişiği içeren Content-Disposition başlıklarında bir sorun vardı. Bu sorun, tür ilişiği sayfalarında bazı işlevlere verilen izinlerin kaldırılmasıyla giderildi.
CVE kimliği
CVE-2015-5921: Intel(r) Advanced Threat Research Team'den Mickey Shkatov, Singapore Management University'den Daoyuan Wu, Hong Kong Polytechnic University'den Rocky K. C. Chang, Łukasz Pilorz, www.knownsec.com'den superhei
WebKit Canvas
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi başka bir web sitesindeki görüntü verilerini açığa çıkarabilir
Açıklama: WebKit'teki "canvas" öğesi görüntülerinde bir çapraz kaynak sorunu vardı. Güvenlik kaynaklarının takibi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5788: Apple
WebKit Sayfa Yüklemesi
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: WebSocket'ler karışık içerik politikasına uyma zorunluluğunu atlayabilir
Açıklama: Yetersiz politika zorunluluğu sorunu, WebSocket'lerin karışık içerik yüklemesine izin veriyordu. WebSocket'ler için karışık içerik politikası zorunluluğu genişletilerek bu sorun giderildi.
Higher Logic'den Kevin G. Jones
FaceTime her ülkede ve bölgede kullanılamaz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.