iPod touch 2.1 sürümünün güvenlik içeriği hakkında

Bu belgede, iPod touch 2.1 sürümünün güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

iPod touch 2.1 sürümü

• Application Sandbox

  CVE Kimliği: CVE-2008-3631

  İlgili sürümler: iPod touch 2.0 sürümünden 2.0.2 sürümüne kadar olan sürümler

  Etki: Bir uygulama, başka bir uygulamanın dosyalarını okuyabilir

  Açıklama: Application Sandbox, üçüncü taraf uygulamalar arasında erişim sınırlamalarını düzgün şekilde uygulamıyor. Bu, üçüncü taraf bir uygulamanın başka bir üçüncü taraf uygulamanın korumalı alanındaki dosyaları okumasına izin verebilir ve hassas bilgilerin açığa çıkmasına neden olabilir. Bu güncelleme, uygulama korumalı alanlar arasında uygun erişim sınırlamalarını uygulayarak sorunu giderir. Bu sorunu bildirdiği için Bryce Cogswell ve Sen:te'den Nicolas Seriot'a teşekkür ederiz. Bu sorun, iPod touch'ın 2.0 sürümünden önceki sürümlerini etkilemez.

• CoreGraphics

  adresindeki FreeType web sitesinden ulaşılabilir.

  Available for: iPod touch v1.1 through v2.0.2

  Impact: Multiple vulnerabilities in FreeType v2.3.5

  Description: Multiple vulnerabilities exist in FreeType v2.3.5, the most serious of which may lead to arbitrary code execution when accessing maliciously crafted font data. This update addresses the issue by incorporating the security fixes from version 2.3.6 of FreeType. Further information is available via the FreeType site at http://www.freetype.org/

• mDNSResponder

  CVE Kimliği: CVE-2008-1447

  İlgili sürümler: iPod touch 1.1 sürümünden 2.0.2 sürümüne kadar olan sürümler

  Etki: mDNSResponder, DNS önbelleği zehirlenmesine açıktır ve sahte bilgiler verebilir

  Açıklama: mDNSResponder, tekli yayın DNS çözümleme API'sini kullanan uygulamalar için sunucu adları ve IP adresleri arasında çeviri yapar. DNS protokolündeki bir zayıflık, uzaktaki bir saldırganın DNS önbelleği zehirlenmesine yönelik saldırılar gerçekleştirmesine izin verebilir. Sonuç olarak, DNS için mDNSResponder'a ihtiyaç duyan uygulamalar sahte bilgiler alabilir. Bu güncelleme, önbellek zehirlenmesine yönelik saldırılara karşı dayanıklılığı artırmak için kaynak bağlantı noktasını ve işlem kimliğini etkisizleştirme işlemini uygulayarak sorunu giderir. Bu sorunu bildirdiği için IOActive şirketinden Dan Kaminsky'ye teşekkür ederiz.

• Networking

  CVE Kimliği: CVE-2008-3612

  İlgili sürümler: iPod touch 1.1 sürümünden 2.0.2 sürümüne kadar olan sürümler

  Etki: Öngörülebilir TCP başlangıç sıra numarası üretimi, TCP sahteciliğine veya oturumun ele geçirilmesine neden olabilir

  Açıklama: TCP başlangıç sıra numaraları, sırayla oluşturulur. Öngörülebilir başlangıç sıra numaraları, uzaktaki bir saldırganın sahte bir TCP bağlantısı oluşturmasına veya mevcut bir TCP bağlantısına veri girmesine izin verebilir. Bu güncelleme, rastgele TCP başlangıç sıra numaraları oluşturarak sorunu giderir.

• WebKit

  CVE Kimliği: CVE-2008-3632

  İlgili sürümler: iPod touch 1.1 sürümünden 2.0.2 sürümüne kadar olan sürümler

  Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: WebKit'in CSS içe aktarma ifadelerini işlemesinde, boşaltılan belleğin kullanılmasıyla ilgili bir sorun var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, belge referanslarının işlenmesini iyileştirerek sorunu giderir.