iOS 16.7.2 ve iPadOS 16.7.2'nin güvenlik içeriği hakkında
Bu belgede iOS 16.7.2 ve iPadOS 16.7.2'nin güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
iOS 16.7.2 ve iPadOS 16.7.2
Yayınlanma Tarihi: 25 Ekim 2023
CoreAnimation
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Bir uygulama, servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-40449: Tomi Tokics (@tomitokics), iTomsn0w
Core Recents
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Sorun, günlük kaydı temizlenerek çözüldü
CVE-2023-42823
Giriş eklenme tarihi: 16 Şubat 2024
Find My
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Bir uygulama, hassas konum bilgilerini okuyabilir
Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-40413: Adam M.
ImageIO
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Bir görüntünün işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-40416: JZ
ImageIO
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.
CVE-2023-42848: JZ
Giriş eklenme tarihi: 16 Şubat 2024
IOTextEncryptionFamily
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-40423: anonim bir araştırmacı
Kernel
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği önlemlerini atlayabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-42849: Linus Henze, Pinauten GmbH (pinauten.de)
libc
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir girişi işlemek, kullanıcının yüklediği uygulamalarda rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-40446: inooo
Giriş eklenme tarihi: 3 Kasım 2023
libxpc
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, kök ayrıcalıkları kazanabilir
Açıklama: Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.
CVE-2023-42942: Mickey Jin (@patch1t)
Giriş eklenme tarihi: 16 Şubat 2024
Mail Drafts
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: E-Postamı Gizle özelliği beklenmedik şekilde devre dışı bırakılabilir
Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Bir aygıt, Wi-Fi MAC adresi aracılığıyla pasif olarak izlenebilir
Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.
CVE-2023-42846: Mysk Inc. @mysk_co şirketinden Talal Haj Bakry ve Tommy Mysk
Pro Res
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu ve Guang Gong, 360 Vulnerability Research Institute
Pro Res
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) ve happybabywu ile Guang Gong, 360 Vulnerability Research Institute
Giriş eklenme tarihi: 16 Şubat 2024
Safari
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi göz atma geçmişini açığa çıkarabilir
Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.
CVE-2023-41977: Alex Renda
Siri
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir
Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.
CVE-2023-41997: Bistrit Dahal
CVE-2023-41982: Bistrit Dahal
Giriş güncellenme tarihi: 16 Şubat 2024
Weather
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.
CVE-2023-41254: Cristian Dinca, "Tudor Vianu" National High School of Computer Science, Romanya
WebKit
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Kullanıcının parolası VoiceOver tarafından seslendirilebilir
Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
WebKit
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee), Cross Republic
WebKit
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) ve Vitor Pedreira (@0xvhp_), Agile Information Security
Giriş güncellenme tarihi: 16 Şubat 2024
WebKit
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Giriş eklenme tarihi: 16 Şubat 2024
WebKit Process Model
İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller
Etki: Web içeriğinin işlenmesi servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
Ek teşekkür listesi
libxml2
Yardımları için OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a teşekkür ederiz.
libarchive
Yardımları için Bahaa Naamneh'e teşekkür ederiz.
WebKit
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
WebKit
Gishan Don Ranasinghe'ye ve anonim bir araştırmacıya yardımları için teşekkür ederiz.
Giriş eklenme tarihi: 16 Şubat 2024
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.