iOS 2.2'nin ve iPod touch için iOS 2.2'nin güvenlik içeriği hakkında

Bu belgede, iOS 2.2'nin ve iPod touch için iOS 2.2'nin güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

iOS 2.2 ve iPod touch için iOS 2.2

• CoreGraphics

  CVE-ID: CVE-2008-2321

  İlgili sürümler: iOS 1.0 - 2.1, iPod touch için iOS 1.1 - 2.1

  Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: CoreGraphics'in bağımsız değişkenleri işlemesinde bellek bozulması sorunları var. Web tarayıcı gibi bir uygulama aracılığıyla güvenilmeyen girişlerin CoreGraphics'e aktarılması, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Bu sorunu bildirdiği için Google şirketinden Michal Zalewski'ye teşekkür ederiz.

• ImageIO

  CVE-ID: CVE-2008-2327

  İlgili sürümler: iOS 1.0 - 2.1, iPod touch için iOS 1.1 - 2.1

  Etki: Kötü amaçlarla oluşturulmuş bir TIFF görüntü dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: libTIFF'in LZW kodlu TIFF görüntülerini işlemesinde ilklendirilmemiş bellek erişimi sorunu var. Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, uygun bellek ilklendirmesi ve TIFF görüntüleri için ek doğrulama ile bu sorunu giderir.

• ImageIO

  CVE-ID: CVE-2008-1586

  İlgili sürümler: iOS 1.0 - 2.1, iPod touch için iOS 1.1 - 2.1

  Etki: Kötü amaçlarla oluşturulmuş bir TIFF görüntü dosyasını görüntülemek, aygıtın beklenmedik şekilde sıfırlanmasına neden olabilir

  Açıklama: ImageIO'nun TIFF görüntülerini işlemesinde bir arabellek boşalması sorunu var. Kötü amaçlarla oluşturulmuş bir TIFF görüntü dosyasını görüntülemek, aygıtın beklenmedik şekilde sıfırlanmasına neden olabilir. Bu güncelleme, bir TIFF görüntüsünü açmak için ayrılan bellek miktarını sınırlandırarak bu sorunu çözer. Bu sorunu bildirdiği için Recurity Labs GmbH'den Sergio 'shadown' Alvarez'e teşekkür ederiz.

• Networking

  CVE-ID: CVE-2008-4227

  İlgili sürümler: iOS 1.0 - 2.1, iPod touch için iOS 1.1 - 2.1

  Etki: PPTP VPN bağlantıları için şifreleme düzeyi beklenenden düşük olabilir

  Açıklama: PPTP VPN bağlantıları için şifreleme düzeyi daha önceki, düşük bir düzeye dönebilir. Bu güncelleme, şifreleme tercihlerini uygun şekilde ayarlayarak bu sorunu giderir. Bu sorunu bildirdiği için University of Illinois of Urbana-Champaign'den Stephen Butler'a teşekkür ederiz.

• Office Viewer

  CVE-ID: CVE-2008-4211

  İlgili sürümler: iOS 1.0 - 2.1, iPod touch için iOS 1.1 - 2.1

  Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Excel dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: Office Viewer'ın Microsoft Excel dosyalarındaki sütunları işlemesindeki bir işaret sorunu, sınırların dışında bellek erişimine neden olabilir. Kötü amaçlarla oluşturulmuş bir Microsoft Excel dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleştirme, etkilenen dizin değerlerinin negatif olmamasını sağlayarak bu sorunu giderir. Teşekkür: Apple.

• Passcode Lock

  CVE-ID: CVE-2008-4228

  İlgili sürümler: iOS 1.0 - 2.1, iPod touch için iOS 1.1 - 2.1

  Etki: Acil aramalar, acil servis numaralarıyla sınırlı değil

  Açıklama: iPhone, kilitliyken acil aramalar yapılmasına olanak sağlar. Şu anda herhangi bir numaraya acil arama yapılabilir. iPhone'a fiziksel erişimi olan bir kişi, ücreti iPhone sahibine yansıtılan rastgele aramalar yapmak için bu özellikten yararlanabilir. Bu güncelleme, acil durum aramalarını sınırlı sayıda telefon numarasıyla kısıtlayarak sorunu giderir.

• Passcode Lock

  CVE-ID: CVE-2008-4229

  İlgili sürümler: iOS 1.0 - 2.1, iPod touch için iOS 1.1 - 2.1

  Etki: Bir aygıtı yedeklemeden geri yüklemek, Parolayla Kilitleme'yi yeniden etkinleştirmeyebilir

  Açıklama: Parolayla Kilitleme özelliği, doğru parola girilmediği sürece uygulamaların başlatılmasını engellemek için tasarlanmıştır. Aygıt ayarlarının işlenmesindeki bir yarış durumu, aygıt yedeklemeden geri yüklendiğinde Parolayla Kilitleme'nin kaldırılmasına neden olabilir. Bu, cihaza fiziksel erişimi olan bir kişinin uygulamaları parola olmadan başlatmasına izin verebilir. Bu güncelleme, sistemin eksik tercihleri tanıma becerisini geliştirerek bu sorunu giderir. Bu sorun, iOS 2.0 veya iPod touch için iOS 2.0'dan önceki sistemleri etkilemez. Bu sorunu bildirdiği için Nolen Scaife'a teşekkür ederiz.

• Passcode Lock

  CVE-ID: CVE-2008-4230

  İlgili sürümler: iOS 1.0 - 2.1, iPod touch için iOS 1.1 - 2.1

  Etki: Kısa Mesaj Servisi (SMS) mesajları şifre girilmeden önce görünür hale gelebilir

  Açıklama: Acil arama ekranı görünürken bir SMS mesajı gelirse "SMS Önizlemesi" tercihi "KAPALI" olarak ayarlanmış olsa bile SMS mesajının tamamı görüntülenir. Bu güncelleme, böyle bir durumda içeriği değil, yalnızca SMS mesajının geldiğine dair bir bildirim görüntüleyerek sorunu giderir.

• Safari

  CVE-ID: CVE-2008-4231

  İlgili sürümler: iOS 1.0 - 2.1, iPod touch için iOS 1.1 - 2.1

  Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: HTML tablo öğelerinin işlemesinde bir bellek bozulması sorunu var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, HTML tablo öğelerinin işlenmesini iyileştirerek sorunu giderir. Bu sorunu bildirdiği için Fortinet'in FortiGuard Global Security Research Ekibi'nden Haifei Li'ye teşekkür ederiz.

• Safari

  CVE-ID: CVE-2008-4232

  İlgili sürümler: iOS 1.0 - 2.1, iPod touch için iOS 1.1 - 2.1

  Etki: Gömülü iframe öğelerine sahip web siteleri, kullanıcı arabirimi sahteciliğine karşı savunmasız olabilir

  Açıklama: Safari, bir iframe öğesinin içeriği kendi sınırları dışında görüntülemesine izin verir, bu da kullanıcı arabirimi sahtekarlığına neden olabilir. Bu güncelleme, iframe öğelerinin kendi sınırları dışındaki içerikleri görüntülemesine izin vermeyerek bu sorunu giderir. Bu sorun, iOS 2.0 veya iPod touch için iOS 2.0'dan önceki sistemleri etkilemez. Bu sorunu bildirdiği için Mozilla Corporation'dan John Resig'e teşekkür ederiz.

• CVE-ID: CVE-2008-4233İlgili sürümler: iOS 1.0 - 2.1, iPod touch için iOS 1.1 - 2.1Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, kullanıcı etkileşimi olmadan bir telefon görüşmesi başlatabilirAçıklama: Arama onayı iletişim kutusu gösterilirken Safari üzerinden bir uygulama başlatılırsa arama yapılır. Bu, kötü amaçlarla oluşturulmuş bir web sitesinin, kullanıcı etkileşimi olmadan bir telefon görüşmesi başlatmasına izin verebilir. Ayrıca belirli koşullar altında, kötü amaçlarla oluşturulmuş bir web sitesinin, kullanıcının aramayı iptal etme olanağını kısa bir süre için engellemesi mümkün olabilir. Bu güncelleme, Safari aracılığıyla bir uygulama başlatıldığında Safari'nin çağrı onayı iletişim kutusunu uygun şekilde kapatarak bu sorunu giderir. Bu sorunu bildirdiği için Fraunhofer SIT'ten Collin Mulliner'e teşekkür ederiz.

  Safari

• Webkit

  CVE-ID: CVE-2008-3644

  İlgili sürümler: iOS 1.0 - 2.1, iPod touch için iOS 1.1 - 2.1

  Etki: Hassas bilgiler, kilidi açık bir aygıta fiziksel erişimi olan bir kişiye gösterilebilir

  Açıklama: Bir form alanında otomatik tamamlamanın devre dışı bırakılması, alandaki verilerin tarayıcı sayfası önbelleğinde saklanmasını önlemeyebilir. Bu, kilidi açılmış bir cihaza fiziksel erişimi olan bir kişiye hassas bilgilerin gösterilmesine neden olabilir. Bu güncelleme, form verilerini uygun şekilde temizleyerek bu sorunu giderir. Bu sorunu bildirdiği için anonim bir araştırmacıya teşekkür ederiz.