iOS 18 ve iPadOS 18'in güvenlik içeriği hakkında

Bu belgede iOS 18 ve iPadOS 18'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 18 ve iPadOS 18

Yayınlanma tarihi: 16 Eylül 2024

Accessibility

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 3. nesil ve sonraki modelleri, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 7. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-40840: Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia (@abhay_kailasia)

Accessibility

Etki: Bir uygulama, kullanıcının yüklü uygulamalarını listeleyebilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2024-40830: Chloe Surett

Accessibility

Etki: Aygıta fiziksel erişimi olan bir saldırgan, erişilebilirlik özellikleri üzerinden Yakındaki Aygıtları Denetle işlevini kullanabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-44171: Jake Derouin (jakederouin.com)

Giriş eklenme tarihi: 3 Mart 2025

Accessibility

Etki: Bir saldırgan, Yardımcı Erişim'de kimlik doğrulama olmadan en son fotoğrafları görüntüleyebilir

Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.

CVE-2024-40852: Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia (@abhay_kailasia)

ARKit

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-44126: Holger Fuhrmannek

Giriş eklenme tarihi: 28 Ekim 2024

Cellular

Etki: Uzaktaki bir saldırgan servis reddine neden olabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-27874: Tuan D. Hoang

Compression

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması bir saldırganın rastgele dosyalara yazmasına neden olabilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Etki: Bir uygulama, herhangi bir gösterge olmadan ekranı kaydedebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27869: anonim bir araştırmacı

Core Bluetooth

Etki: Kötü niyetli bir Bluetooth giriş aygıtı, eşleştirme adımını atlayabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-44124: Daniele Antonioli

FileProvider

Etki: Yerel bir kullanıcı, gizli kullanıcı bilgilerini sızdırabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54469: Kandji'den Csaba Fitzl (@theevilbit)

Giriş eklenme tarihi: 3 Mart 2025

FileProvider

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Sembolik bağlantıların doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2024-44131: Jamf'den @08Tc3wBB

Game Center

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek dosya erişimi ile ilgili bir sorun giderildi.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2024-27880: Junsung Lee

ImageIO

Etki: Bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-44176: Trend Micro Zero Day Initiative ile çalışan ZerPointer Lab'den dw0r ve anonim bir araştırmacı

IOSurfaceAccelerator

Etki: Bir uygulama sistemin beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-44169: Antonio Zekić

Kernel

Etki: Ağ trafiği, bir VPN tüneli dışına sızabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-44165: Andrew Lytvynov

Kernel

Etki: Bir uygulama, Bluetooth'a yetkisiz erişim sağlayabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ve Mathy Vanhoef

LaunchServices

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-44122: anonim bir araştırmacı

Giriş eklenme tarihi: 3 Mart 2025

LaunchServices

Etki: Kötü amaçlı bir uygulama, Uygulama Yönetimi olmadan diğer uygulamaları değiştirebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)

Giriş eklenme tarihi: 3 Mart 2025

libxml2

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2024-44198: OSS-Fuzz, Google Project Zero'dan Ned Williamson

Mail Accounts

Etki: Bir uygulama, bir kullanıcının kişileriyle ilgili bilgilere erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Etki: Bir uygulama servis reddine neden olabilir

Açıklama: Hata işleme iyileştirilerek bir mantık hatası giderildi.

CVE-2024-44183: Olivier Levon

Model I/O

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2023-5841

NetworkExtension

Etki: Bir uygulama, Yerel Ağa yetkisiz erişim sağlayabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ve Mathy Vanhoef

Notes

Etki: Bir uygulama, rastgele dosyaların üzerine yazabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-44167: ajajfxhj

Passwords

Etki: Parolaları otomatik doldurma özelliği, kimlik doğrulaması başarısız olduktan sonra parolaları doldurabilir

Açıklama: Savunmasız kod kaldırılarak ve yeni denetimler eklenerek bir izin sorunu giderildi.

CVE-2024-44217: Bistrit Dahal, Joshua Keller, Lukas ve anonim bir araştırmacı

Giriş eklenme tarihi: 28 Ekim 2024, güncellenme tarihi: 3 Mart 2025

Printing

Etki: Yazdırma önizlemesi kullanılırken, şifrelenmemiş bir belge geçici bir dosyaya yazdırılabilir

Açıklama: Dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-40826: anonim bir araştırmacı

Safari

Etki: Kötü amaçlarla oluşturulmuş web içeriği, iFrame korumalı alan politikasını ihlal edebilir

Açıklama: Giriş doğrulaması iyileştirilerek özel bir URL şeması işleme sorunu giderildi.

CVE-2024-44155: Suma Soft Pvt. Ltd, Pune (Hindistan) şirketinden Siber Güvenlik Yöneticisi Narendra Bhati

Giriş eklenme tarihi: 28 Ekim 2024

Safari Private Browsing

Etki: Özel Dolaşma sekmelerine kimlik doğrulama olmadan erişilebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Etki: Özel Dolaşma sekmelerine kimlik doğrulama olmadan erişilebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-44127: Anamika Adhikari

Sandbox

Etki: Bir uygulama, hassas kullanıcı bilgilerini sızdırabilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2024-40863: Kandji'den Csaba Fitzl (@theevilbit)

Giriş güncellenme tarihi: 28 Ekim 2024

SceneKit

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2024-44144: 냥냥

Giriş eklenme tarihi: 28 Ekim 2024

Security

Etki: Kök ayrıcalıklarına sahip kötü amaçlı bir uygulama, kullanıcı izni olmadan klavye girişi ve konum bilgilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-44123: SecuRing'den Wojciech Regula (wojciechregula.blog)

Giriş eklenme tarihi: 28 Ekim 2024

Sidecar

İlgili ürünler: iPad Pro 13 inç, iPad Pro 12,9 inç 3. nesil ve sonraki modelleri, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 7. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Sidecar özellikli bir macOS aygıtına fiziksel erişimi olan bir saldırgan, Kilitli Ekranı aşabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-44145: Zaprico Digital'dan Om Kothawade, UNTHSC College of Pharmacy'den Omar A. Alanis

Giriş eklenme tarihi: 28 Ekim 2024

Siri

Etki: Aygıta fiziksel erişimi olan bir saldırgan, kilitli ekranda kişilerin numaralarını okuyabilir

Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.

CVE-2024-44179: Bistrit Dahal, Matej Moravec (@MacejkoMoravec)

Giriş eklenme tarihi: 3 Mart 2025

Siri

Etki: Bir saldırgan, Aramaları Otomatik Cevaplama özelliğini etkinleştirmek için Siri'yi kullanabilir

Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.

CVE-2024-40853: ZUSO ART'tan Chi Yuan Chang ve taikosoup

Giriş eklenme tarihi: 28 Ekim 2024

Siri

Etki: Fiziksel erişimi olan bir saldırgan, kilitli ekrandan kişilere erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Hassas veriler daha güvenli bir konuma taşınarak bir gizlilik sorunu giderildi.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

TCC

Etki: Bir uygulama, kullanıcıyı fotoğraf arşivindeki fotoğraflara erişim izni vermesi için kandırabilir

Açıklama: Süreç dışı görüntüleme işleme iyileştirilerek bir tıklama hırsızlığı sorunu giderildi.

CVE-2024-54558: BreakPoint.sh'den Ron Masas ve anonim bir araştırmacı

Giriş eklenme tarihi: 3 Mart 2025

Transparency

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Etki: Saldırgan, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2024-27879: Justin Cohen

WebKit

Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek bir çerez yönetimi sorunu giderildi.

WebKit Bugzilla: 287874

CVE-2024-54467: Suma Soft Pvt. Ltd, Pune (Hindistan) şirketinden Siber Güvenlik Yöneticisi Narendra Bhati

Giriş eklenme tarihi: 3 Mart 2025

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

WebKit Bugzilla: 268770

CVE-2024-44192: Tashita Software Security

Giriş eklenme tarihi: 3 Mart 2025

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir

Açıklama: "iFrame" öğeleriyle ilgili kaynaklar arası bir sorun vardı. Güvenlik kaynaklarının takibi iyileştirilerek bu sorun giderildi.

WebKit Bugzilla: 279452

CVE-2024-44187: Suma Soft Pvt. Ltd, Pune (Hindistan) şirketinden Siber Güvenlik Yöneticisi Narendra Bhati

Wi-Fi

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına veya çekirdek belleğin bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-44227: Tim Michaud (@TimGMichaud), Moveworks.ai

Giriş eklenme tarihi: 3 Mart 2025

Wi-Fi

Etki: Bir saldırgan, bir aygıtın güvenli bir ağla olan bağlantısını zorla sonlandırabilir

Açıklama: Beacon Protection ile ilgili bir bütünlük sorunu giderildi

CVE-2024-40856: Preet Dsouza (Fleming College, Bilgisayar Güvenliği ve Soruşturma Programı), Domien Schepers

Giriş eklenme tarihi: 3 Mart 2025

Ek teşekkür listesi

Accounts

ByteDance'den IES Red Team'e yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 3 Mart 2025

Core Bluetooth

Onymos Inc. (onymos.com) şirketinden Nicholas C.'ye yardımı için teşekkür ederiz.

CoreGraphics

Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia (@abhay_kailasia), Bharat (mrnoob), ZUSO ART'tan Chi Yuan Chang ve taikosoup, J T'ye yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 3 Mart 2025

dyld

Shielder'dan (shielder.com) Abdel Adim Oisfi, Pietro Francesco Tirenna ve Davide Silvetti'ye yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 3 Mart 2025

Find My

Shandong University'den Bay Xiaofeng Liu'ya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 3 Mart 2025

Foundation

Ostorlab'e yardımı için teşekkür ederiz.

ImageIO

Yardımları için Junsung Lee'ye teşekkür ederiz.

Giriş eklenme tarihi: 3 Mart 2025

Installer

Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia), ZUSO ART'tan Chi Yuan Chang'a ve taikosoup'a, Christian Scalese'ye, Ishan Boda'ya, Shane Gallagher'a yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 28 Ekim 2024

Kernel

Braxton Anderson'a, sponsorluğu Bundesamt für Sicherheit in der Informationstechnik tarafından sağlanan Deutsche Telekom Security GmbH'ye, PixiePoint Security şirketinden Fakhri Zulkifli'ye (@d0lph1n98) yardımları için teşekkür ederiz.

Magnifier

Andr.Ess'e yardımı için teşekkür ederiz.

Maps

Romanya'daki "Tudor Vianu" National High School of Computer Science'tan Cristian Dinca ve Kirin'e (@Pwnrin) yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 3 Mart 2025

Messages

ZUSO ART'tan Chi Yuan Chang'a ve taikosoup'a yardımları için teşekkür ederiz.

MobileLockdown

Andr.Ess'e yardımı için teşekkür ederiz.

Notifications

Yardımları için Lakshmi Narain College of Technology Bhopal'den Abhay Kailasia (@abhay_kailasia), Dev dutta (manas.dutta.75), Prateek Pawar (vakil sahab) ve anonim bir araştırmacıya teşekkür ederiz.

Giriş eklenme tarihi: 3 Mart 2025

Passwords

Richard Hyunho Im'e (@r1cheeta) yardımı için teşekkür ederiz.

Photos

Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia), Harsh Tyagi'ye, Kenneth Chew'a, Leandro Chaves'e, Technocrat Institute of Technology Bhopal'dan Saurabh Kumar'a, Shibin B Shaji'ye, Vishnu Prasad P G'ye, UST'ye, Yusuf Kelany'ye ve Junior Vergara'ya yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 3 Mart 2025

Safari

HakTrak'tan Hafiizh ve YoKo Kho'ya (@yokoacc), James Lee'ye (@Windowsrcer) yardımları için teşekkür ederiz.

Settings

Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia (@abhay_kailasia), Bistrit Dahal, ZUSO ART'tan Chi Yuan Chang ve taikosoup, Ethan Bischof'a yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 3 Mart 2025

SharePlay

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 3 Mart 2025

Shortcuts

Romanya'daki "Tudor Vianu" National High School of Computer Science'tan Cristian Dinca'ya, Jacob Braun'a, anonim bir araştırmacıya yardımları için teşekkür ederiz.

Siri

Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia), Rohan Paudel'e ve anonim bir kullanıcıya yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 28 Ekim 2024

Spotlight

Paulo Henrique Batista Rosa de Castro'ya (@paulohbrc) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 28 Ekim 2024

Status Bar

Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia (@abhay_kailasia), Jacob Braun, Jake Derouin (jakederouin.com) ve Kenneth Chew'e yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 3 Mart 2025

TCC

Vaibhav Prajapati'ye yardımı için teşekkür ederiz.

UIKit

Andr.Ess'e yardımı için teşekkür ederiz.

Voice Memos

Lisa B'ye yardımı için teşekkür ederiz.

Wallet

Hasso Plattner Institute'tan Aaron Schlitt'e (@aaron_sfn) yardımı için teşekkür ederiz.

Giriş güncellenme tarihi: 24 Ocak 2025

WebKit

Oligo Security'den Avi Lumelsk'e ve Uri Katz'a, Braylon'a (@softwarescool), Eli Grey'e (eligrey.com), Johan Carlsson'a (joaxcar), Numan Türle - Rıza Sabuncu'ya yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 28 Ekim 2024

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: 7 Mart 2025