Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.
iOS 8
802.1X
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bir saldırgan Wi-Fi kimlik bilgilerini ele geçirebilir
Açıklama: Bir saldırgan bir Wi-Fi erişim noktasını taklit ederek kimlik doğrulamasının LEAP ile yapılmasını teklif etmiş, MS-CHAPv1 karmasını kırmış ve erişim noktası daha güçlü kimlik doğrulama yöntemlerini destekliyor olsa bile hedef aldığı erişim noktasının kimlik doğrulaması için ele geçirdiği kimlik bilgilerini kullanmış olabilir. Bu sorun, LEAP'in saptanmış olarak devre dışı bırakılmasıyla giderildi.
CVE kimliği
CVE-2014-4364: Hasselt Üniversitesi'nden Pieter Robyns, Bram Bonne, Peter Quax ve Wim Lamotte
Hesaplar
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, kullanıcının Apple Kimliğini belirlemeyi başarabilir
Açıklama: Hesapların erişim denetimi mantığında bir sorun vardı. Korumalı bir uygulama, mevcut durumda etkin olan iCloud hesabı hakkında hesabın adı da dahil olmak üzere bilgi elde edebilir. Bu sorun, yetkili olmayan uygulamalardan belirli hesap türlerine erişim kısıtlanarak giderildi.
CVE kimliği
CVE-2014-4423: Adam Weaver
Erişilebilirlik
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Aygıt, AssistiveTouch özelliği kullanılırken ekranı kilitlemeyebilir
Açıklama: AssistiveTouch'ın etkinlikleri işlemesinde, ekranın kilitlenmesini engelleyen bir mantık sorunu vardı. Bu sorun, kilit zamanlayıcısının işlenmesi geliştirilerek giderildi.
CVE kimliği
CVE-2014-4368: Hendrik Bettermann
Hesap Altyapısı
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bir iOS aygıtına erişimi olan bir saldırgan günlüklerden hassas kullanıcı bilgilerine erişebilir
Açıklama: Hassas kullanıcı bilgileri günlüğe kaydediliyordu. Bu sorun daha az bilgi kaydedilerek giderildi.
CVE kimliği
CVE-2014-4357: OP-Pohjola Group'tan Heli Myllykoski
Adres Defteri
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bir iOS aygıtına fiziksel erişimi olan bir kişi adres defterini okuyabilir
Açıklama: Adres defteri, sadece donanım UID tarafından korunan bir anahtarla şifreleniyordu. Bu sorun, adres defteri donanım UID tarafından korunan bir anahtar ve kullanıcı parolası ile şifrelenerek giderildi.
CVE kimliği
CVE-2014-4352: Jonathan Zdziarski
Uygulama Yükleme
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir saldırgan ayrıcalıkları arttırarak doğrulanmamış uygulamalar yükleyebilir
Açıklama: Uygulama Yükleme işleminde bir yarış koşulu vardı. /tmp'ye yazabilen bir saldırgan, doğrulanmamış bir uygulama yüklemeyi başarabilir. Bu sorun, yükleme dosyaları başka bir dizine taşınarak giderildi.
CVE kimliği
CVE-2014-4386: evad3rs
Uygulama Yükleme
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir saldırgan ayrıcalıkları arttırarak doğrulanmamış uygulamalar yükleyebilir
Açıklama: Uygulama Yükleme işleminde çapraz yol geçişi sorunu vardı. Yerel bir saldırgan kod imza doğrulamasını yüklenmekte olandan farklı bir pakete yeniden hedefleyerek, doğrulanmamış bir uygulamanın yüklenmesine neden olabilir. Bu sorun, hangi kod imzasının doğrulanacağı seçilirken çapraz yol geçişinin belirlenerek önlenmesiyle giderildi.
CVE kimliği
CVE-2014-4384: evad3rs
Varlıklar
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan güncel olmadığı halde bir iOS aygıtının güncel olduğunu sanmasına yol açabilir
Açıklama: Güncelleme denetimi yanıtlarının işlenmesinde bir doğrulama sorunu vardı. Ardışık güncelleme taleplerinde "Şu Tarihten İtibaren Değiştirilmişse" denetimleri için "Son Değişiklik Tarihi" yanıt başlıklarında gelecek tarihlere ayarlı sahte tarihler kullanılıyordu. Bu sorun, "Son Değişiklik Tarihi" başlığının doğrulanmasıyla çözümlendi.
CVE kimliği
CVE-2014-4383: DinoSec'ten Raul Siles
Bluetooth
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bluetooth, iOS yükseltmesi yapıldıktan sonra beklenmedik bir şekilde varsayılan olarak etkinleştiriliyordu
Açıklama: Bluetooth, iOS yükseltmesi yapıldıktan sonra otomatik olarak etkin hale geliyordu. Bu sorun, Bluetooth'un sadece büyük veya küçük sürüm güncellemelerinde açılmasıyla giderildi.
CVE kimliği
CVE-2014-4354: Maneet Singh, Sean Bluestein
Sertifika Güven Politikası
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Sertifika güven politikasında güncelleme
Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi şu adreste görüntülenebilir: https://support.apple.com/tr-tr/HT5012.
CoreGraphics
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: PDF dosyalarının işlenmesinde bir tam sayı taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-4377: Binamuse VRT'den Felipe Andres Manzano (iSIGHT Partners GVP Program ile)
CoreGraphics
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya bilgilerin açıklanmasına neden olabilir
Açıklama: PDF dosyalarının işlenmesinde sınırların dışında bellek okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-4378: Binamuse VRT'den Felipe Andres Manzano (iSIGHT Partners GVP Program ile)
Veri Sensörleri
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Mail uygulamasında bir FaceTime bağlantısına dokunulması, önceden sorulmadan FaceTime sesli çağrısı yapılmasına neden oluyordu
Açıklama: Mail, facetime-audio:// URL'lerini başlatmadan önce kullanıcıdan izin istemiyordu. Bir onay istemi eklenerek bu sorun giderildi.
CVE kimliği
CVE-2013-6835: Guillaume Ross
Foundation
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: NSXMLParser kullanan bir uygulama, bilgilerin açıklanması için kötüye kullanılabilir
Açıklama: NSXMLParser'ın XML işlemesinde XML Harici Varlık sorunu vardı. Bu sorun, kaynaklar arasında harici varlıklar yüklenmeyerek giderildi.
CVE kimliği
CVE-2014-4374: VSR'den George Gal (http://www.vsecurity.com/)
Ana Ekran ve Kilitli Ekran
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bir arka plan uygulaması hangi uygulamanın en önde olduğunu belirleyebilir
Açıklama: En öndeki uygulamayı belirleyen özel API'nin erişim denetimi yetersizdi. Bu sorun, ek erişim denetimi ile giderildi.
CVE kimliği
CVE-2014-4361: NESO Security Labs'tan Andreas Kurtz ve Heilbronn University'den Markus Troßbach
iMessage
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Ana iMessage veya MMS silindikten sonra ekler kalabilir
Açıklama: Eklerin silinme yönteminde bir yarış koşulu vardı. Bu sorun, bir ekin silinip silinmediğini belirlemek için ek denetimler gerçekleştirilerek giderildi.
CVE kimliği
CVE-2014-4353: Silviu Schiau
- IOAcceleratorFamily
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bir uygulama sistemin beklenmeyen biçimde sonlanmasına yol açabilir
Açıklama: IOAcceleratorFamily API bağımsız değişkenlerinde bir null işaretçi dereferansı vardı. Bu sorun IOAcceleratorFamily API bağımsız değişkenleri için doğrulamanın geliştirilmesiyle giderildi.
CVE kimliği
CVE-2014-4369: winocm olarak da bilinen Sarah ve Alibaba Mobile Security Team'den Cererdlong
Giriş güncellenme tarihi: 3 Şubat 2020 IOAcceleratorFamily
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Aygıt beklenmedik biçimde yeniden başlatılabilir
Açıklama: IntelAccelerator sürücüsünde bir NULL işaretçi dereferansı vardı. Hatanın işlenmesi iyileştirilerek sorun giderildi.
CVE kimliği
CVE-2014-4373: Adlab of Venustech'ten cunzhang
IOHIDFamily
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, çekirdek adresinin rastgele adres alanı düzenini atlamak için kullanılabilen çekirdek işaretçilerini okuyabilir
Açıklama: Bir IOHIDFamily işlevinin işlenmesinde, sınırların dışında okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-4379: Google Project Zero'dan Ian Beer
IOHIDFamily
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'nin anahtar eşleşme özelliklerini işlemesinde bir yığın arabellek taşması vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-4404: Google Project Zero'dan Ian Beer
IOHIDFamily
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'nin anahtar eşleşme özelliklerini işlemesinde bir null işaretçi dereferansı vardı. Bu sorun, IOHIDFamily anahtar eşleşme özellikleri doğrulamasının geliştirilmesiyle giderildi.
CVE kimliği
CVE-2014-4405: Google Project Zero'dan Ian Beer
IOHIDFamily
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily çekirdek uzantısında, sınırların dışında yazma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-4380: Adlab of Venustech'ten cunzhang
IOKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, çekirdek belleğinden ilklendirilmemiş verileri okuyabilir
Açıklama: IOKit işlevlerinin işlenmesinde ilklendirilmemiş bellek erişimi sorunu vardı. Bellek ilklendirme iyileştirilerek bu sorun giderildi
CVE kimliği
CVE-2014-4407: @PanguTeam
IOKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IODataQueue nesnelerinin belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu vardı. Meta veri doğrulaması iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-4418: Google Project Zero'dan Ian Beer
IOKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IODataQueue nesnelerinin belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu vardı. Meta veri doğrulaması iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-4388: @PanguTeam
IOKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOKit işlevlerinin işlenmesinde bir tam sayı taşması sorunu vardı. Bu sorun IOKit API bağımsız değişkenleri için doğrulamanın geliştirilmesiyle giderildi.
CVE kimliği
CVE-2014-4389: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir
Açıklama: Ağ istatistikleri arabiriminde, çekirdek belleği içeriğinin açıklanmasına yol açan birden çok ilklendirilmemiş bellek sorunu vardı. Bu sorun ek bellek ilklendirmeyle giderildi.
CVE kimliği
CVE-2014-4371: Google Güvenlik Ekibi'nden Fermin J. Serna
CVE-2014-4419: Google Güvenlik Ekibi'nden Fermin J. Serna
CVE-2014-4420: Google Güvenlik Ekibi'nden Fermin J. Serna
CVE-2014-4421: Google Güvenlik Ekibi'nden Fermin J. Serna
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Ayrıcalıklı ağ konumuna sahip bir kişi servis reddine yol açabilir
Açıklama: IPv6 paketlerinin işlenmesinde bir yarış koşulu sorunu vardı. Bu sorun, kilit durumu denetiminin iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2011-2391: Marc Heuse
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir
Açıklama: Mach bağlantı noktalarının işlenmesinde bir çift serbest bırakma hatası vardı. Mach bağlantı noktaları doğrulamasının iyileştirilmesiyle bu sorun giderildi.
CVE kimliği
CVE-2014-4375: anonim bir araştırmacı
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir
Açıklama: rt_setgate'de sınırların dışında okuma sorunu vardı. Bu sorun, bellek bilgilerinin açığa çıkmasına veya bellek bozulmasına yol açabilir. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-4408
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bazı çekirdek sağlamlaştırma ölçüleri atlanabilir
Açıklama: Önyükleme işleminin başlarında çekirdek sağlamlaştırma ölçümleri için kullanılan rastgele sayı oluşturucu kriptografik olarak güvenli değildi. Bazı çıktıları kullanıcı alanından anlaşılır değildi, böylece sağlamlaştırma ölçümlerinin atlanmasına olanak sağlıyordu. Bu sorun, kriptografik olarak güvenli bir algoritma kullanılarak giderildi.
CVE kimliği
CVE-2014-4422: Azimuth Security'den Tarjei Mandt
Libnotify
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Libnotify'da sınırların dışında yazma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-4381: Google Project Zero'dan Ian Beer
Lockdown
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Etkinleştirme kilidi etkinken aygıt manipüle edilerek yanlış bir şekilde ana ekranın gösterilmesi sağlanabilir
Açıklama: Kilit açma davranışında, aygıtın etkinleştirme kilidi etkin durumda kalması gerekirken ana ekranın açılmasına neden olan bir sorun vardı. Bu sorun, kilit açma talebi sırasında aygıtın doğruladığı bilgiler değiştirilerek giderildi.
CVE kimliği
CVE-2014-1360
Mail
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Sunucuda LOGINDISABLED IMAP yeteneği bulunduğu halde oturum açma kimlik bilgileri düz metin olarak gönderilebilir
Açıklama: Sunucularda LOGINDISABLED IMAP yeteneği bulunduğu halde Mail, sunuculara LOGIN komutu gönderebiliyordu. Bu durum, çoğunlukla şifreli olmayan bağlantıları kabul edecek şekilde ayarlanmış ve LOGINDISABLED bulunan sunuculara bağlanılırken sorun oluşturuyordu. Bu sorun, LOGINDISABLED IMAP yeteneği kabul edilerek giderildi.
CVE kimliği
CVE-2014-4366: Mark Crispin
Mail
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bir iOS aygıtına fiziksel erişimi olan bir kişi e-posta eklerini okuyabilir
Açıklama: Mail'in e-posta eklerindeki Veri Koruması'nı kullanmasında bir mantık sorunu vardı. Bu sorun, e-posta eklerinin Veri Koruması sınıfının uygun şekilde ayarlanmasıyla giderildi.
CVE kimliği
CVE-2014-1348: NESO Security Labs'ten Andreas Kurtz
Profiller
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: iOS yükseltmesi yapıldıktan sonra Sesli Arama beklenmedik biçimde etkin hale geliyor
Açıklama: Sesli Arama, iOS yükseltmesi yapıldıktan sonra otomatik olarak etkin hale geliyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-4367: Sven Heinemann
Safari
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kullanıcı kimlik bilgileri, otomatik doldurma üzerinden istenmeyen bir siteye ifşa edilebilir
Açıklama: Safari, ana çerçevedekinden farklı bir etki alanını gösteren bir alt çerçeveye kullanıcı adlarını ve parolalarını otomatik olarak girebiliyordu. Bu sorun iyileştirilmiş kaynak takibiyle giderildi.
CVE kimliği
CVE-2013-5227: Klarna AB'den Niklas Malmgren
Safari
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini ele geçirebilir
Açıklama: Kaydedilen parolalar http sitelerinde, güvenilirliği bozuk https sitelerinde ve iFrame'lerde otomatik olarak dolduruluyordu. Bu sorun, parolayı otomatik doldurmanın, geçerli sertifika zincirlerine sahip https sitelerinin ana çerçevesiyle kısıtlandırılmasıyla giderildi.
CVE kimliği
CVE-2014-4363: Stanford University'den David Silver, Suman Jana ve Dan Boneh ile Carnegie Mellon University'den Eric Chen ve Collin Jackson'ın ortak çalışması
Safari
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan Safari'deki URL'leri yanıltabilir
Açıklama: MDM etkinleştirilmiş aygıtlarda Safari'de bir kullanıcı arabirimi tutarsızlığı sorunu vardı. Sorun, kullanıcı arabirimindeki tutarsızlık kontrolleri geliştirilerek giderildi.
CVE kimliği
CVE-2014-8841: Salesforce Product Security'den Angelo Prado
Korumalı Alan Profilleri
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Apple Kimliği bilgilerine üçüncü taraf uygulamalar tarafından erişilebiliyordu
Açıklama: Üçüncü taraf uygulama korumalı alanında bilgi açığa çıkma sorunu vardı. Bu sorun, üçüncü taraf korumalı alan profili iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4362: NESO Security Labs'tan Andreas Kurtz ve Heilbronn University'den Markus Troßbach
Ayarlar
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bu özellik devre dışı olduğunda bile metin mesajı önizlemeleri kilit ekranında görünebilir
Açıklama: Kilit ekranında metin mesajı bildirimlerini önizleme konusunda bir sorun mevcuttu. Sonuç olarak, önizleme Ayarlar menüsünde devre dışı bırakılmış olsa bile alınan mesajların içerikleri kilit ekranında gösteriliyordu. Bu sorun bu ayarın gözetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4356: San Pietro Vernotico (BR), İtalya'dan Mattia Schirinzi
syslog
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Yerel bir kullanıcı rastgele dosyalarda izinleri değiştirebilir
Açıklama: Dosyalardaki izinler değiştirilirken syslogd, sembolik bağlantıları izliyordu. Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-4372: Georgia Tech Information Security Center'dan (GTISC) Tielei Wang ve YeongJin Jang
Hava Durumu
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Konum bilgileri şifrelenmeden gönderiliyordu
Açıklama: Yerel hava durumunu belirlemek için kullanılan bir API'de bir bilgi açıklama sorunu vardı. Bu sorun, API'ler değiştirilerek giderildi.
WebKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlı bir web sitesi, özel dolaşma etkinken bile kullanıcıları izleyebiliyor olabilir
Açıklama: Bir web uygulaması HTML 5 uygulama önbellek verilerini normal göz atma sırasında saklayıp, verileri özel dolaşma sırasında okuyabiliyordu. Bu sorun, özel dolaşma modundayken uygulama önbelleğine erişim devre dışı bırakılarak giderildi.
CVE kimliği
CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)
WebKit
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.
CVE kimliği
CVE-2013-6663: OUSPG'den Atte Kettunen
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Güvenlik Ekibi
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Google'dan Eric Seidel
CVE-2014-4411: Google Chrome Güvenlik Ekibi
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
Wi-Fi
İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller
Etki: Bir aygıt, Wi-Fi MAC adresi aracılığıyla pasif olarak izlenebilir
Açıklama: Wi-Fi ağlarının taranması için stabil bir MAC adresi kullanıldığından dolayı bir bilgi açıklama sorunu vardı. Bu sorun, pasif Wi-Fi taramaları için MAC adresinin rastgele hale getirilmesiyle giderildi.
Not:
iOS 8 bazı tanılama özelliklerinde değişiklikler içermektedir. Ayrıntılar için lütfen https://support.apple.com/tr-tr/HT6331 adresindeki makaleye bakın
iOS 8 artık aygıtların daha önce güvenilmiş tüm bilgisayarları güvenilmeyen olarak görmesine izin veriyor. Talimatlar https://support.apple.com/tr-tr/HT5868 adresindeki makalede bulunabilir.
FaceTime her ülkede ve bölgede kullanılamaz.