iPod touch için iOS 3.1.3 güvenlik içeriği hakkında

Bu belgede, iPod touch için iOS 3.1.3 güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

iPod touch için iOS 3.1.3

• CoreAudio

  CVE-ID: CVE-2010-0036

  İlgili sürümler: iOS 1.0'dan 3.1.2'ye kadar olan sürümler, iPod touch için iOS 1.1'den 3.1.2'ye kadar olan sürümler

  Etki: Kötü amaçlarla oluşturulmuş bir MP4 dosyasını oynatmak, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: MP4 dosyalarının işlenmesinde arabellek taşması sorunu vardır. Kötü amaçlarla oluşturulmuş bir mp4 ses dosyasını çalmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Sınır denetimi iyileştirilerek bu sorun giderildi. Bu sorunu bildirdiği için trapkit.de'den Tobias Klein'a teşekkür ederiz.

• ImageIO

  CVE-ID: CVE-2009-2285

  İlgili sürümler: iOS 1.0-3.1.2, iPod touch için iOS 1.1-3.1.2

  Etki: Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: ImageIO'nun TIFF resimlerini işlemesinde arabellek boşalması sorunu vardır. Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. Sınır denetimi iyileştirilerek bu sorun giderildi.

• Recovery Mode

  CVE-ID: CVE-2010-0038

  İlgili sürümler: iOS 1.0-3.1.2, iPod touch için iOS 1.1-3.1.2

  Etki: Kilitli bir aygıta fiziksel erişimi olan bir kullanıcı, kullanıcı verilerine erişebilir

  Açıklama: Belirli bir USB kontrol mesajının işlenmesinde bellek bozulması sorunu vardır. Kilitli aygıta fiziksel erişimi olan bir kullanıcı, bunu parolayı zorunluluğunu atlatmak ve kullanıcının verilerine erişmek için kullanabilir. Bu sorun, USB kontrol mesajının işlenmesi iyileştirilerek giderilmiştir.

• WebKit

  CVE-ID: CVE-2009-3384

  İlgili sürümler: iOS 1.0-3.1.2, iPod touch için iOS 1.1-3.1.2

  Etki: Kötü amaçlarla oluşturulmuş bir TIFF sunucusuna erişmek, uygulamanın beklenmedik bir şekilde sonlandırılmasına, bilgilerin açığa çıkmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: WebKit'in FTP dizin listelerini işlemesinde birden fazla doğrulama sorunu vardır. Kötü amaçlarla oluşturulmuş bir FTP sunucusuna erişmek, bilgilerin açığa çıkmasına, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, FTP dizin listelerinin ayrıştırılmasını iyileştirerek sorunu giderir. Bu sorunları bildirdiği için Google Inc. şirketinden Michal Zalewski'ye teşekkür ederiz.

• WebKit

  CVE-ID: CVE-2009-2841

  İlgili sürümler: iOS 1.0-3.1.2, iPod touch için iOS 1.1-3.1.2

  Etki: Bir posta, uzaktan resim yükleme devre dışı bırakıldığında uzak ses ve video içeriğini yükleyebilir

  Açıklama: WebKit, harici bir kaynağa işaret eden bir HTML 5 Medya Öğesi ile karşılaştığında, kaynağın yüklenmesi gerekip gerekmediğini belirlemek için bir kaynak yükleme geri çağrısı yapmaz. Bu, uzak sunuculara istenmeyen isteklerde bulunulmasına neden olabilir. Örneğin, HTML biçiminde bir e-posta mesajı gönderen kişi bunu mesajın okunup okunmadığını belirlemek için kullanabilir. Bu sorun, WebKit bir HTML 5 Medya Öğesi ile karşılaştığında kaynak yükü geri çağrıları oluşturularak giderildi.