iOS 16.7.2 ve iPadOS 16.7.2'nin güvenlik içeriği hakkında

Bu belgede iOS 16.7.2 ve iPadOS 16.7.2'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 16.7.2 ve iPadOS 16.7.2

Yayınlanma Tarihi: 25 Ekim 2023

CoreAnimation

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40449: Tomi Tokics (@tomitokics), iTomsn0w

Core Recents

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Sorun, günlük kaydı temizlenerek çözüldü

CVE-2023-42823

Giriş eklenme tarihi: 16 Şubat 2024

Find My

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40413: Adam M.

ImageIO

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir görüntünün işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40416: JZ

ImageIO

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-42848: JZ

Giriş eklenme tarihi: 16 Şubat 2024

IOTextEncryptionFamily

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40423: anonim bir araştırmacı

Kernel

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği önlemlerini atlayabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-42849: Linus Henze, Pinauten GmbH (pinauten.de)

libc

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir girişi işlemek, kullanıcının yüklediği uygulamalarda rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40446: inooo

Giriş eklenme tarihi: 3 Kasım 2023

libxpc

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, kök ayrıcalıkları kazanabilir

Açıklama: Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2023-42942: Mickey Jin (@patch1t)

Giriş eklenme tarihi: 16 Şubat 2024

Mail Drafts

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: E-Postamı Gizle özelliği beklenmedik şekilde devre dışı bırakılabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir aygıt, Wi-Fi MAC adresi aracılığıyla pasif olarak izlenebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2023-42846: Mysk Inc. @mysk_co şirketinden Talal Haj Bakry ve Tommy Mysk

Pro Res

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu ve Guang Gong, 360 Vulnerability Research Institute

Pro Res

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-42873: Mingxuan Yang (@PPPF00L) ve happybabywu ile Guang Gong, 360 Vulnerability Research Institute

Giriş eklenme tarihi: 16 Şubat 2024

Safari

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi göz atma geçmişini açığa çıkarabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41977: Alex Renda

Siri

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir

Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.

CVE-2023-41997: Bistrit Dahal

CVE-2023-41982: Bistrit Dahal

Giriş güncellenme tarihi: 16 Şubat 2024

Weather

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-41254: Cristian Dinca, "Tudor Vianu" National High School of Computer Science, Romanya

WebKit

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Kullanıcının parolası VoiceOver tarafından seslendirilebilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

WebKit Bugzilla: 248717

CVE-2023-32359: Claire Houston

WebKit

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 259836

CVE-2023-40447: 이준성(Junsung Lee), Cross Republic

WebKit

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

WebKit Bugzilla: 260173

CVE-2023-42852: Pedro Ribeiro (@pedrib1337) ve Vitor Pedreira (@0xvhp_), Agile Information Security

Giriş güncellenme tarihi: 16 Şubat 2024

WebKit

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

WebKit Bugzilla: 259890

CVE-2023-41976: 이준성(Junsung Lee)

WebKit

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

WebKit Bugzilla: 260046

CVE-2023-42843: Kacper Kwapisz (@KKKas_)

Giriş eklenme tarihi: 16 Şubat 2024

WebKit Process Model

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 260757

CVE-2023-41983: 이준성(Junsung Lee)

Ek teşekkür listesi

libxml2

Yardımları için OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a teşekkür ederiz.

libarchive

Yardımları için Bahaa Naamneh'e teşekkür ederiz.

WebKit

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

WebKit

Gishan Don Ranasinghe'ye ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 16 Şubat 2024

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: