iOS 5 Yazılım Güncellemesi'nin güvenlik içeriği hakkında

Bu belgede iOS 5 Yazılım Güncellemesi'nin güvenlik içeriği açıklanmaktadır.

Bu belgede iOS 5 Yazılım Güncellemesi'nin güvenlik içeriği açıklanmaktadır. İçerik iTunes kullanılarak indirilebilir ve yüklenebilir.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

iOS 5 Yazılım Güncellemesi

  • CalDAV

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Öncelikli ağ konumuna sahip bir saldırgan CalDAV takvim sunucusunda kullanıcı kimlik bilgileri veya diğer hassas bilgileri kesintiye uğratabilir

    Açıklama: CalDAV, güvenilen sunucu tarafından sunulan SSL sertifikasını kontrol etmez.

    CVE kimliği

    CVE-2011-3253: nSense'den Leszek Tasiemski

  • Takvim

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 4.2.0 through 4.3.5, iPod touch (3. nesil ve sonrası) için iOS 4.2.0 - 4.3.5, iPad için iOS 4.2.0 - 4.3.5

    Etki: Kötü amaçlarla oluşturulan takvim davetinin görüntülenmesi yerel alana komut dizi eklenmesine neden olabilir

    Açıklama: Takvim'in davet notlarını işlemesinde bir komut dizisi ekleme sorunu vardı. Bu sorun, davet notlarındaki özel karakterlerin kaçış işlemi geliştirilerek giderildi. Bu sorun iOS 4.2.0 öncesi sürümleri etkilemez.

    CVE kimliği

    CVE-2011-3254: Rick Deacon

  • CFNetwork

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kullanıcının Apple Kimliği parolası yerel bir dosyaya kaydedilebilir

    Açıklama: Kullanıcının Apple Kimliği parolası ve kullanıcı adı sistemdeki uygulamalar tarafından okunabilen bir dosyaya kaydedilir. Bu sorun bu kimlik bilgilerinin kaydedilmesi engellenerek giderildi.

    CVE kimliği

    CVE-2011-3255: qdevelop'tan Peter Quade

  • CFNetwork

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, hassas bilgilerin açığa çıkmasına neden olabilir

    Açıklama: CFNetwork'ın HTTP çerezlerini işlemesinde sorun vardı. Kötü amaçlı olarak oluşturulmuş bir HTTP veya HTTPS URL'sine erişirken, CFNetwork çerezleri hatalı şekilde alan dışındaki bir sunucu alanına gönderebilir.

    CVE kimliği

    CVE-2011-3246: Facebook'tan Erling Ellingsen

  • CoreFoundation

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesi veya e-posta mesajının görüntülenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: CoreFoundation'un komut dizisi işaretleri bellek bozulması sorunu vardı.

    CVE kimliği

    CVE-2011-0259: Apple

  • CoreGraphics

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir font içeren bir belgenin görüntülenmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: Freetype'ta birden fazla bellek bozulması sorunu vardı. Bu sorunlardan en önemlisi kötü amaçlarla oluşturulmuş font işlenirken rastgele kod yürütülmesine neden oluyordu.

    CVE kimliği

    CVE-2011-3256: Apple

  • CoreMedia

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi video bilgilerinin başka bir siteye açıklanmasına neden olabilir

    Açıklama: CoreMedia'nın siteler arası yönlendirmeleri işleyişinde kaynaklar arası veri sızdırma sorunu vardı. Bu soruna, iyileştirilmiş kaynak izlemeyle çözüm getirildi.

    CVE kimliği

    CVE-2011-0187: Nirankush Panchbhai ve Microsoft Vulnerability Research (MSVR)

  • Veri Erişimi

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: E-posta alışverişi çerez yönetim sorunu farklı hesaplar arasında verilerin yanlış eşzamanlanmasına neden olabilir

    Açıklama: E-posta alıverişi hesapları aynı sunucuya bağlanmak üzere yapılandırıldığında, bir oturum başka bir hesabın geçerli çerezini alabilir. Bu sorun çerezlerin farklı hesaplara ayrılmasıyla giderildi.

    CVE kimliği

    CVE-2011-3257: IBM'den Bob Sielken

  • Veri Güvenliği

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir

    Açıklama: DigiNotar tarafından işletilen birden fazla sertifika yetkilisi tarafından sahte sertifikalar yayınlandı. Bu sorun DigiNotar'ın güvenilir kök sertifikalarından, Uzatılmış Geçerlilik (EV) sertifika yetkililerinden çıkarılmasıyla ve saptanmış sistem güvenilirlik ayarlarının, diğer yetkililer tarafından yayınlananlar dahil olmak üzere DigiNotar sertifikalarının güvenilir olmadığı bilgisini içerecek şekilde yapılmasıyla giderildi.

  • Veri Güvenliği

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: MD5 özetleri olan X.509 sertifikalarına yönelik destek, saldırılar geliştikçe kullanıcıları yanıltmalara açık hale getirebilir ve bilgilerin kullanıma açılmasına neden olabilir

    Açıklama: MD5 özet algoritması kullanılarak imzalanan sertifikalar iOS tarafından kabul edilir. Bu algoritmada bilinen şifreleme zayıflıkları bulunmaktadır. Saldırgan tarafından kontrol edilen değerlerle X.509 sertifikaları oluşturmasına izin verilmiş olabilecek başka araştırma yetkilisine veya yanlış ayarlanmış bir sertifika yetkilisine sistem tarafından güvenilmiş olabilir. Bu, X.509 temelli protokollerini yanıltmaya, bağlantıları izleyen saldırılara ve bilgilerin kullanıma açılmasına karşı savunmasız hale getirebilir. Bu güncelleme MD5 özeti olan X.509 sertifikasının güvenilen kök sertifika olarak kullanımı dışında hiç bir kullanımını desteklemez.

    CVE kimliği

    CVE-2011-3427

  • Veri Güvenliği

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: SSL bağlantısının parçasının şifresi saldırgan tarafından çözülebilir

    Açıklama: SSL'in sadece SSLv3 ve TLS 1.0 sürümleri desteklenir. Bu sürümler blok şifreler kullanıldığında protokolün zayıflamasına neden olur. Bağlantıyı izinsiz izleyen saldırgan geçersiz veriler ekleyebilir ve bu da bağlantının kapanmasına ve bu sırada önceki verilerle ilgili bazı bilgilerin açığa çıkmasına neden olur. Aynı bağlantı saldırgan tarafından tekrar tekrar hedeflendiyse, saldırgan gönderilmekte olan parola gibi verilerin şifresini zaman içinde çözmüş olabilir. Bu sorun TLS 1.2 için destek eklenerek giderildi.

    CVE kimliği

    CVE-2011-3389

  • Ana ekran

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Uygulamalar arasında geçiş yapma hassas uygulama bilgilerinin açıklanmasına neden olabilir

    Açıklama: Dört parmak uygulama geçiş hareketiyle uygulamalar arasında geçiş yapıldığında, ekran önceki uygulama durumunu görüntüleyebilir. Bu sorun, uygulamalar arasında geçiş sırasında kullanılan bir yöntem olan applicationWillResignActive'in sistem tarafından doğru şekilde çağırması sağlanarak giderildi.

    CVE kimliği

    CVE-2011-3431: Hedonic Software Inc. şirketinden Abe White

  • ImageIO

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: LibTIFF'in CCITT Group 4 kodlu TIFF görüntülerini işlemesinde yığın arabellek taşması sorunu vardı.

    CVE kimliği

    CVE-2011-0192: Apple

  • ImageIO

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: ImageIO'nun CCITT Group 4 kodlu TIFF görüntülerini işlemesinde bir yığın arabellek taşması sorunu vardı.

    CVE kimliği

    CVE-2011-0241: Tessi Technologies'den Cyril CATTIAUX

  • Uluslararası Unicode Bileşenleri

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: ICU kullanan uygulamalar, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine karşı savunmasız olabilir

    Açıklama: ICU'nun genellikle büyük harflerden oluşan uzun komut dizileri için tanımlama anahtarı oluşturmasında bir yığın arabellek taşması sorunu vardı.

    CVE kimliği

    CVE-2011-0206: David Bienvenu, Mozilla

  • Çekirdek

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Aygıta uzaktan erişen bir saldırgan aygıtın sıfırlanmasına neden olabilir

    Açıklama: Çekirdek tamamlanmamış TCP bağlantılarından hızlı bellek bildirimi talebinde bulunduğunda başarısız olur. iOS aygıtındaki bir dinleme hizmetine bağlanma olanağına sahip bir saldırgan sistem kaynaklarını tüketebilir.

    CVE kimliği

    CVE-2011-3259: Topicus I&I'dan Wouter van der Veer ve Josh Enders

  • Çekirdek

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Yerel kullanıcı sistemin sıfırlanmasına neden olabilir

    Açıklama: IPV6 yuvası seçeneklerinin işlenmesinde null dereferans sorunu vardı.

    CVE kimliği

    CVE-2011-1132: Thomas Clement, Intego

  • Klavyeler

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kullanıcı parolanın son karakteri hakkındaki bilgileri elde edebilir

    Açıklama: Parolanın son karakterini girmek için kullanılan klavye, klavye yeniden kullanıldığında bu son karakteri kısa bir süre boyunca görüntüler.

    CVE kimliği

    CVE-2011-3245: Paul Mousdicas

  • libxml

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: libxml'in XML verilerini işlemesinde tek bit yığın arabellek taşması sorunu vardı.

    CVE kimliği

    CVE-2011-0216: Google Güvenlik Ekibi'nden Billy Rios

  • OfficeImport

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir Word dosyasının görüntülenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: OfficeImport'un Microsoft Word belgelerini işlemesinde bir yığın arabellek taşması sorunu vardı.

    CVE kimliği

    CVE-2011-3260: Verisign iDefense Labs ile çalışan Tobias Klein

  • OfficeImport

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir Excel dosyasının görüntülenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: OfficeImport'un Excel dosyalarını işlemesinde çift serbest bırakma sorunu vardı.

    CVE kimliği

    CVE-2011-3261: www.trapkit.de'den Tobias Klein

  • OfficeImport

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını indirmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: OfficeImport'un Microsoft Office dosyalarını işlemesinde bir bellek bozulması sorunu vardı.

    CVE kimliği

    CVE-2011-0208: iDefense VCP ile çalışan Tobias Klein

  • OfficeImport

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir Excel dosyasının indirilmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: OfficeImport'un Excel dosyalarını işlemesinde bir bellek bozulması sorunu vardı.

    CVE kimliği

    CVE-2011-0184: iDefense VCP ile çalışan Tobias Klein

  • Safari

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Belirli web sitelerinde kötü amaçlarla oluşturulmuş dosyaları açmak, çapraz site betik yazma saldırısına neden olabilir

    Açıklama: iOS, HTTP Content-Disposition başlığına ilişkin 'attachment' değerini desteklemez. Bu başlık birçok web sitesi tarafından, siteye üçüncü şahıslarca yüklenen dosyaları (web tabanlı e-posta uygulamalarındaki ekler gibi) çalıştırmak için kullanılır. Bu başlık değeriyle çalıştırılan dosyalardaki herhangi bir betik, dosya sıralı olarak sunulmuş gibi kaynak sunucudaki diğer kaynaklara tam erişimle çalışır. Bu sorun, ilişiklerin diğer sitelerdeki kaynaklara erişimi bulunmayan yalıtımlı güvenlik kaynağına yüklenmesiyle giderildi.

    CVE kimliği

    CVE-2011-3426: iDefense VCP ile çalışan Christian Matthies ve JP/CERT ile birlikte Business Architects Inc'ten Yoshinori Oota

  • Ayarlar

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Aygıta fiziksel erişimi bulunan bir saldırgan kısıtlama parolasını elde etmeyi başarabilir

    Etki: Ebeveyn kısıtlamaları işlevi UI kısıtlamalarını devreye sokar. Ebeveyn kısıtlamaları konfigürasyonu, daha önce diskte düz metin olarak saklanan bir parola ile korunur. Sorun, ebeveyn kısıtlamaları parolasının sistem anahtar zincirinde güvenli şekilde saklanmasıyla giderildi.

    CVE kimliği

    CVE-2011-3429: anonim bir araştırmacı

  • Ayarlar

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: UI Yanlış Yönlendirme

    Açıklama: Konfigürasyon profilleriyle uygulanan konfigürasyonlar ve ayarlar, İngilizce dışındaki dillerde düzgün çalışmıyor gibi görünüyor. Sonuç olarak ayarlar yanlış şekilde görüntüleniyor. Bu sorun, yerelleştirme hatası düzeltilerek giderildi.

    CVE kimliği

    CVE-2011-3430: Siemens CERT'den Florian Kreitmaier

  • UIKit Uyarıları

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi aygıtın yanıt vermemesine neden olabilir

    Açıklama: Maksimum metin düzeni uzunluğunun aşılması kötü amaçlı web sitelerinin iOS'i çok uzun tel: URI'ler alınırken askıya almasına neden olabilir. Bu sorun maksimum URI boyutunun mantıklı bir düzeye çekilmesiyle giderildi.

    CVE kimliği

    CVE-2011-3432: Anglia Ruskin University'den Simon Young

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı.

    CVE kimliği

    CVE-2011-0218: Google Chrome Güvenlik Ekibi'nden SkyLined

    CVE-2011-0221: Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)

    CVE-2011-0222: CISS Araştırma Ekibi'nden Nikita Tarakanov ve Alex Bazhanyuk, Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)

    CVE-2011-0225: Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)

    CVE-2011-0232: J23 (TippingPoint'in Zero Day Initiative programıyla)

    CVE-2011-0233: team509'dan wushi (TippingPoint'in Zero Day Initiative programıyla)

    CVE-2011-0234: Rob King (TippingPoint'in Zero Day Initiative programıyla), team509'dan wushi (TippingPoint'in Zero Day Initiative programıyla)

    CVE-2011-0235: Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)

    CVE-2011-0238: Google Chrome Güvenlik Ekibi'nden Adam Barth

    CVE-2011-0254: anonim bir araştırmacı (TippingPoint'in Zero Day Initiative programıyla)

    CVE-2011-0255: anonim bir araştırmacı (TippingPoint'in Zero Day Initiative programıyla)

    CVE-2011-0981: Adobe Systems, Inc'ten Rik Cabanier

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: team509'dan wushi

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Nokia'dan Andreas Kling

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: team509'dan wushi (TippingPoint'in Zero Day Initiative programıyla)

    CVE-2011-1457: Google'dan John Knottenbelt

    CVE-2011-1462: team509'dan wushi

    CVE-2011-1797: team509'dan wushi

    CVE-2011-2338: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)

    CVE-2011-2339: Google Chrome Güvenlik Ekibi'nden Cris Neckar

    CVE-2011-2341: Verisign iDefense Labs ile çalışan team509'dan wushi

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Adam Barth ve Abhishek Arya

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Samsung'dan Mikolaj Malecki

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)

    CVE-2011-2813: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Cris Neckar

    CVE-2011-2814: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)

    CVE-2011-2816: Apple

    CVE-2011-2817: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Google'dan Raman Tenneti ve Philip Rogers

    CVE-2011-2823: Google Chrome Güvenlik Ekibi'nden SkyLined

    CVE-2011-2827: miaubiz

    CVE-2011-2831: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)

    CVE-2011-3232: OUSPG'den Aki Helin

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Chromium geliştirme topluluğundan Dimitri Glazkov, Kent Tamura, Dominic Cooney ve Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)

    CVE-2011-3236: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)

    CVE-2011-3237: Chromium geliştirme topluluğundan Dimitri Glazkov, Kent Tamura, Dominic Cooney ve Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)

    CVE-2011-3244: vkouchna

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçla oluşturulmuş bir web sitesini ziyaret etmek, siteler arası betik saldırısına neden olabilir

    Açıklama: Yerleşik kullanıcı adına sahip URL'lerin işlenmesinde kaynaklar arası veri sızdırma sorunu vardı. Bu sorun, yerleşik kullanıcı adına sahip URL'lerin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2011-0242: Online24'ten Jobert Abma

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçla oluşturulmuş bir web sitesini ziyaret etmek, siteler arası betik saldırısına neden olabilir

    Açıklama: DOM düğümlerinin işlenmesinde kaynaklar arası veri sızdırma sorunu vardı.

    CVE kimliği

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesi adres çubuğunda farklı bir URL görüntülenmesine neden olabilir

    Açıklama: DOM geçmiş nesnesinin işlenmesinde URL sahteciliği sorunu vardı.

    CVE kimliği

    CVE-2011-1107: Jordi Chancel

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'in libxslt kullanımında konfigürasyon sorunu vardı. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, kullanıcı önceliklerine sahip rastgele dosyaların oluşturulmasına ve rastgele kod yürütülmesine neden olabilir. Bu sorun libxslt güvenlik ayarları iyileştirilerek giderildi.

    CVE kimliği

    CVE-2011-1774: Agarri'den Nicolas Gregoire

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlı web sitesini ziyaret etmek ve içeriği sayfaya sürüklemek bilgilerin açıklanmasına neden olabilir

    Açıklama: WebKit'in HTML5 sürükle ve bırak özelliğini işleyişinde kaynaklar arası veri sızdırma sorunu vardı. Bu sorun, farklı kaynaklarda sürükle ve bırak izni kaldırılarak giderildi.

    CVE kimliği

    CVE-2011-0166: Google Inc. şirketinden Michal Zalewski

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçla oluşturulmuş bir web sitesinin ziyaret edilmesi bilgilerin ifşa edilmesine neden olabilir

    Açıklama: Web Workers'ın işlenmesinde kaynaklar arası veri sızdırma sorunu vardı.

    CVE kimliği

    CVE-2011-1190: divricean.ro'dan Daniel Divricean

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçla oluşturulmuş bir web sitesini ziyaret etmek, siteler arası betik saldırısına neden olabilir

    Açıklama: Window.open yönteminin işlenmesinde kaynaklar arası veri sızdırma sorunu vardı.

    CVE kimliği

    CVE-2011-2805: Sergey Glazunov

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçla oluşturulmuş bir web sitesini ziyaret etmek, siteler arası betik saldırısına neden olabilir

    Açıklama: Etkin olmayan DOM pencerelerinin işlenmesinde kaynaklar arası veri sızdırma sorunu vardı.

    CVE kimliği

    CVE-2011-3243: Sergey Glazunov

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçla oluşturulmuş bir web sitesini ziyaret etmek, siteler arası betik saldırısına neden olabilir

    Açıklama: Document.documentURI özelliğinin işlenmesinde kaynaklar arası veri sızdırma sorunu vardı.

    CVE kimliği

    CVE-2011-2819: Sergey Glazunov

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Kötü amaçlarla oluşturulan web sitesi kullanıcının belirli bir süre içinde ziyaret ettiği URL'leri takip edebilir

    Açıklama: Beforeload olayının işlenmesinde kaynaklar arası veri sızdırma sorunu vardı.

    CVE kimliği

    CVE-2011-2800: Juho Nurminen

  • Wi-Fi

    Şunlarda kullanılabilir: iPhone 3GS ve iPhone 4 için iOS 3.0 - 4.3.5, iPod touch için (3. nesil ve sonrası) iOS 3.1 - 4.3.5, iPad için iOS 3.2 - 4.3.5

    Etki: Wi-Fi kimlik bilgileri bir yerel dosyaya kaydedilebilir

    Açıklama: Parola ve şifreleme anahtarlarının dahil olduğu Wi-Fi kimlik bilgileri sistemdeki uygulamalar tarafından okunabilen bir dosyaya kaydedilir. Bu sorun bu kimlik bilgilerinin kaydedilmesi engellenerek giderildi.

    CVE kimliği

    CVE-2011-3434: TEHTRI Security'den Laurent OUDOT

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: