Bu makale arşivlendi ve artık Apple tarafından güncellenmiyor.

iPhone 2.1 sürümünün güvenlik içeriği hakkında

Bu belgede, iPhone 2.1 sürümünün güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

iPhone 2.1 sürümü

  • Application Sandbox

    CVE Kimliği: CVE-2008-3631

    İlgili sürümler: iPhone 2.0 ila 2.0.2 sürümleri

    Etki: Bir uygulama, başka bir uygulamanın dosyalarını okuyabilir

    Açıklama: Application Sandbox, üçüncü taraf uygulamalar arasında erişim sınırlamalarını düzgün şekilde uygulamıyor. Bu, üçüncü taraf bir uygulamanın başka bir üçüncü taraf uygulamanın korumalı alanındaki dosyaları okumasına izin verebilir ve hassas bilgilerin açığa çıkmasına neden olabilir. Bu güncelleme, uygulama korumalı alanlar arasında uygun erişim sınırlamalarını uygulayarak sorunu giderir. Bu sorunu bildirdiği için Bryce Cogswell ve Sen:te'den Nicolas Seriot'a teşekkür ederiz. Bu sorun, iPhone 2.0'dan önceki sürümleri etkilemez.

  • CoreGraphics

    CVE Kimliği: CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    İlgili sürümler: iPhone 1.0 ila 2.0.2 sürümleri

    Etki: FreeType 2.3.5 sürümünde birden çok güvenlik açığı

    Açıklama: FreeType 2.3.5 sürümünde birden çok güvenlik açığı var. Bunlardan en önemlisi, kötü amaçlarla oluşturulmuş font verilerine erişirken rastgele kod yürütülmesine neden olabilir. Bu güncelleme, FreeType'ın 2.3.6 sürümündeki güvenlik düzeltmelerini entegre ederek bu sorunu giderir. Daha fazla bilgiye http://www.freetype.org/

  • mDNSResponder

    CVE Kimliği: CVE-2008-1447

    İlgili sürümler: iPhone 1.0 ila 2.0.2 sürümleri

    Etki: mDNSResponder, DNS önbellek zehirlenmesine açıktır ve sahte bilgiler verebilir

    Açıklama: mDNSResponder, tekli yayın DNS çözümleme API'sini kullanan uygulamalar için sunucu adları ve IP adresleri arasında çeviri yapar. DNS protokolündeki bir zayıflık, uzaktaki bir saldırganın DNS önbelleği zehirlenmesine yönelik saldırılar gerçekleştirmesine izin verebilir. Sonuç olarak, DNS için mDNSResponder'a ihtiyaç duyan uygulamalar sahte bilgiler alabilir. Bu güncelleme, önbellek zehirlenmesine yönelik saldırılara karşı dayanıklılığı artırmak için kaynak bağlantı noktasını ve işlem kimliğini etkisizleştirme işlemini uygulayarak sorunu giderir. Bu sorunu bildirdiği için IOActive şirketinden Dan Kaminsky'ye teşekkür ederiz.

  • Networking

    CVE Kimliği: CVE-2008-3612

    İlgili sürümler: iPhone 1.0 ila 2.0.2 sürümleri

    Etki: Öngörülebilir TCP başlangıç sıra numarası üretimi, TCP sahteciliğine veya oturumun ele geçirilmesine neden olabilir

    Açıklama: TCP başlangıç sıra numaraları, sırayla oluşturulur. Öngörülebilir başlangıç sıra numaraları, uzaktaki bir saldırganın sahte bir TCP bağlantısı oluşturmasına veya mevcut bir TCP bağlantısına veri girmesine izin verebilir. Bu güncelleme, rastgele TCP başlangıç sıra numaraları oluşturarak sorunu giderir.

  • Passcode Lock

    CVE Kimliği: CVE-2008-3633

    İlgili sürümler: iPhone 2.0 ila 2.0.2 sürümleri

    Etki: Yetkisiz bir kullanıcı Parolayla Kilitleme özelliğini atlayarak iPhone uygulamalarını başlatabilir

    Açıklama: Parolayla Kilitleme özelliği, doğru parola girilmediği sürece uygulamaların başlatılmasını engelleyecek şekilde tasarlanmıştır. Acil durum aramalarının işlenmesindeki bir uygulama sorunu, acil durum aramasındayken ana sayfa düğmesi çift tıklandığında parola gerekmeden iPhone'a fiziksel olarak erişimi olan kullanıcıların bir uygulamayı başlatmasına izin verir. Bu güncelleme, acil durum aramalarının daha iyi işlenmesi yoluyla sorunu giderir. Bu sorunu bildirdiği için Iowa Üniversitesi, Elektrik ve Bilgisayar Mühendisliği Bölümünden Matthew Yohe'ye teşekkür ederiz. Bu sorun, iPhone 2.0'dan önceki sürümleri etkilemez.

  • WebKit

    CVE Kimliği: CVE-2008-3632

    İlgili sürümler: iPhone 1.0 ila 2.0.2 sürümleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'in CSS içe aktarma ifadelerini işlemesinde, boşaltılan belleğin kullanılmasıyla ilgili bir sorun var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, belge referanslarının işlenmesini iyileştirerek sorunu giderir.

Yayın Tarihi: