Bu makale arşivlendi ve artık Apple tarafından güncellenmiyor.

iPod touch için iOS 3.1 ve iOS 3.1.1 güvenlik içeriği hakkında

Bu belgede, iPod touch için iOS 3.1 ve iOS 3.1.1 güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

iPod touch için iOS 3.1 ve iOS 3.1.1

  • CoreAudio

    CVE-ID: CVE-2009-2206

    İlgili Sürümler: iOS 1.0-3.0.1, iPod touch için iOS 1.1-3.0

    Etki: Kötü amaçlarla oluşturulmuş bir AAC veya MP3 dosyasını açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: AAC veya MP3 dosyalarının işlenmesinde yığın arabellek taşması sorunu vardır. Kötü amaçlarla oluşturulmuş bir AAC veya MP3 dosyasını açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Bu sorunu bildirdiği için trapkit.de'den Tobias Klein'a teşekkür ederiz.

  • Exchange Support

    CVE-ID: CVE-2009-2794

    İlgili sürümler: iOS 1.0-3.0.1, iPod touch için iOS 1.1-3.0

    Etki: Aygıta fiziksel erişimi olan bir kullanıcı, Exchange yöneticisi tarafından belirlenen zaman aşımı süresinden sonra aygıtı kullanabilir

    Açıklama: iOS, Microsoft Exchange Server tarafından sağlanan hizmetlerle iletişim kurma özelliği sunar. Exchange Server'daki bir yönetici, "Maximum inactivity time lock" (Maksimum işlem yapmama süresi kilidi) ayarında bir değer belirtebilir. Bu durumda, kullanıcının Exchange hizmetlerini kullanabilmek için işlem yapmama süresi dolduktan sonra parolasını yeniden girmesi gerekir. iOS, kullanıcılara 4 saate kadar uzatılabilen "Parola Gereksin" ayarını belirtme olanağı sunar. "Parola Gereksin" ayarı, "Maximum inactivity time lock" (Maksimum işlem yapmama süresi kilidi) ayarından etkilenmez. Kullanıcı, "Parola Gereksin" ayarı için "Maximum inactivity time lock" (Maksimum işlem yapmama süresi kilidi) ayarından daha yüksek bir değer belirlediyse bu sürede aygıta fiziksel erişimi olan bir kişi Exchange hizmetleri dahil olmak üzere aygıtı kullanabilir. Bu güncelleme, "Maximum inactivity time lock" (Maksimum işlem yapmama süresi kilidi) ayarından daha yüksek bir değer sahip olan "Parola Gereksin" kullanıcı seçimlerini devre dışı bırakarak sorunu giderdi. Bu sorun, yalnızca iOS 2 ve sonraki sürümleri ile iPod touch için iOS 2.0 ve sonraki sürümleri etkiler. Intel Corporation'dan Allan Steven, Robert Duran; PepsiCo'dan Jeff Beckham; Joshua Levitsky, Michael Breton; Edward Jones'dan Mike Karban ve Agilent Technologies'den Steve Moriarty'ye bu sorunu bildirdikleri için teşekkür ederiz.

  • MobileMail

    CVE-ID: CVE-2009-2207

    İlgili sürümler: iOS 1.0-3.0.1, iPod touch için iOS 1.1-3.0

    Etki: Silinen e-posta iletileri, Spotlight aramasında görünmeye devam edebilir

    Açıklama: Spotlight, aygıttaki Mail klasörlerinde silinen iletileri bulur ve erişim imkanı sağlar. Bu durum, aygıta erişimi olan bir kullanıcının silinen iletileri görmesine izin verir. Bu güncelleme, Spotlight arama sonuçlarına silinen e-postaları dahil etmeyerek sorunu giderir. Bu sorun yalnızca iOS 3.0, iOS 3.0.1 ve iPod touch için iOS 3.0 sürümlerini etkiler. Clickwise Software ve Tony Kavadias'a bu sorunu bildirdikleri için teşekkür ederiz.

  • Recovery Mode

    CVE-ID: CVE-2009-2795

    İlgili sürümler: iOS 1.0-3.0.1, iPod touch için iOS 1.1-3.0

    Etki: Kilitli bir aygıta fiziksel erişimi olan bir kullanıcı, kullanıcı verilerine erişebilir

    Açıklama: Kurtarma Modu komut ayrıştırmasında bir yığın arabellek taşması sorunu vardır. Bu durum, aygıta fiziksel erişimi olan bir kişinin parola zorunluluğunu atlatmasına ve kullanıcı verilerine erişmesine izin verebilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir.

  • Telephony

    CVE-ID: CVE-2009-2815

    İlgili sürümler: iOS 1.0-3.0.1

    Etki: Kötü amaçlarla oluşturulmuş bir SMS mesajı almak, hizmetin beklenmedik şekilde kesintiye uğramasına neden olabilir

    Açıklama: SMS geliş bildirimlerinin işlenmesinde null işaretçi dereferansı sorunu vardır. Kötü amaçlarla oluşturulmuş bir SMS mesajı almak, hizmetin beklenmedik şekilde kesintiye uğramasına neden olabilir. Bu güncelleme, gelen SMS mesajlarının daha iyi işlenmesi yoluyla sorunu giderir. Independent Security Evaluators'dan Charlie Miller'a ve Berlin Teknik Üniversitesi'nden Collin Mulliner'a bu sorunu bildirdikleri için teşekkür ederim.

  • UIKit

    CVE-ID: CVE-2009-2796

    İlgili sürümler iOS 1.0-3.0.1, iPod touch için iOS 1.1-3.0

    Etki: Parolalar görünür olabilir

    Açıklama: Paroladaki bir karakter silindiğinde ve silme işlemi geri alındığında karakter kısa süreliğine gösterilir. Bu durum, aygıta fiziksel erişimi olan bir kişinin her seferinde bir karakter görerek parolayı okumasına izin verebilir. Bu güncelleme, karakterlerin görünür olmasını önleyerek bu sorunu giderir. Bu sorun yalnızca iOS 3.0 ve iOS 3.0.1 sürümlerini etkiler. Abraham Vegh'e bu sorunu bildirdiği için teşekkür ederiz.

  • WebKit

    CVE-ID: CVE-2009-2797

    İlgili sürümler: iOS 1.0-3.0.1, iPod touch için iOS 1.1-3.0

    Etki: URL'lerdeki kullanıcı adları ve parolalar bağlanılan sitelere gösterilebilir

    Açıklama: Safari, başvuran üst bilgisine asıl URL'nin kullanıcı adını ve parolasını ekler. Bu durum, hassas bilgilerin açığa çıkmasına neden olabilir. Bu güncelleme, başvuran üst bilgilerine kullanıcı adlarını ve parolalarını eklemeyerek bu sorunu giderir. Jump Networks Ltd'den James A. T. Rice'a bu sorunu bildirdiği için teşekkür ederiz.

  • WebKit

    CVE-ID: CVE-2009-1725

    İlgili sürümler: iOS 1.0-3.0.1, iPod touch için iOS 1.1-3.0

    Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'in sayısal karakter başvurularını işlemesinde bir bellek bozulması sorunu vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme sayısal karakter başvurularının işlenmesini iyileştirerek sorunu giderir. Bu sorunu bildirdiği için Chris Evans'a teşekkür ederiz.

  • WebKit

    CVE-ID: CVE-2009-1724

    İlgili sürümler: iOS 1.0-3.0.1, iPod touch için iOS 1.1-3.0

    Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, siteler arası betik saldırısına yol açabilir

    Açıklama: WebKit'in ana ve üst nesnelerini işlemesiyle ilgili bir sorun, kötü amaçlı olarak oluşturulmuş bir web sitesi ziyaret edildiğinde siteler arası betik saldırısına yol açabilir. Bu güncelleme ana ve üst nesnelerin işlenmesini iyileştirerek sorunu giderir.

  • WebKit

    CVE-ID: CVE-2009-2199

    İlgili sürümler: iOS 1.0-3.0.1, iPod touch için iOS 1.1-3.0

    Etki: URL'deki benzer karakterler, bir web sitesini taklit etmek için kullanılabilir

    Açıklama: Uluslararası Etki Alanı Adı (IDN) desteği ve Safari'deki yerleşik Unicode yazı tipleri, benzer karakterler içeren bir URL oluşturmak için kullanılabilir. Bunlar, kullanıcıyı meşru bir etki alanı gibi görünen sahte bir siteye yönlendirmek için kötü amaçlı bir web sitesinde kullanılabilir. Bu güncelleme, WebKit'in bilinen benzer karakterler listesini genişleterek bu sorunu giderir. Benzer karakterler, adres çubuğunda Punycode ile işlenir. Bu sorunu bildirdiği için Casaba Security, LLC şirketinden Chris Weber'a teşekkür ederiz.

Yayın Tarihi: