iOS 4.3'ün güvenlik içeriği hakkında

Bu belgede iOS 4.3'ün güvenlik içeriği açıklanır.

Bu belgede iOS 4.3.Yazılım Güncellemesi'nin güvenlik içeriği açıklanır. İçerik iTunes kullanılarak indirilebilir ve yüklenebilir.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi almak amacıyla güvenlik açıklarına bakmak için CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

iOS 4.3

  • CoreGraphics

    Şunlarda kullanılabilir: iPhone 3GS ve sonrası için iOS 3.0 - 4.2.1; iPod touch (3. nesil) ve sonrası için iOS 3.1 - 4.2.1; iPad için iOS 3.2 - 4.2.1

    Etki: FreeType'ta birden çok güvenlik açığı

    Açıklama: FreeType'ta, en ağır olanı, kötü amaçlarla oluşturulmuş bir fontu işlerken rastgele kod yürütmeye neden olabilen birden çok güvenlik açığı bulunuyordu. Bu sorunlar FreeType'ın 2.4.3 sürümüne yükseltilmesiyle giderildi. http://www.freetype.org/ adresindeki FreeType sitesinden daha fazla bilgi edinilebilir.

    CVE kimliği

    CVE-2010-3855

  • ImageIO

    Şunlarda kullanılabilir: iPhone 3GS ve sonrası için iOS 3.0 - 4.2.1; iPod touch (3. nesil) ve sonrası için iOS 3.1 - 4.2.1; iPad için iOS 3.2 - 4.2.1

    Etki: Kötü amaçlı olarak oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: LibTIFF'in JPEG kodlu TIFF görüntülerini işlemesinde yığın arabellek taşması sorunu vardı. Kötü amaçlı olarak oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    CVE kimliği

    CVE-2011-0191: Apple

  • ImageIO

    Şunlarda kullanılabilir: iPhone 3GS ve sonrası için iOS 3.0 - 4.2.1; iPod touch (3. nesil) ve sonrası için iOS 3.1 - 4.2.1; iPad için iOS 3.2 - 4.2.1

    Etki: Kötü amaçlı olarak oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: LibTIFF'in CCITT Group 4 kodlu TIFF görüntülerini işlemesinde yığın arabellek taşması sorunu vardı. Kötü amaçlı olarak oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    CVE kimliği

    CVE-2011-0192: Apple

  • libxml

    Şunlarda kullanılabilir: iPhone 3GS ve sonrası için iOS 3.0 - 4.2.1; iPod touch (3. nesil) ve sonrası için iOS 3.1 - 4.2.1; iPad için iOS 3.2 - 4.2.1

    Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: libxml'in XPath ifadelerini işlemesinde iki kez serbest bırakma sorunu vardı. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2010-4494: NCNIPC, Graduate University of Chinese Academy of Sciences'dan Yang Dingning

  • Ağ Kullanımı

    Şunlarda kullanılabilir: iPhone 3GS ve sonrası için iOS 3.0 - 4.2.1; iPod touch (3. nesil) ve sonrası için iOS 3.1 - 4.2.1; iPad için iOS 3.2 - 4.2.1

    Etki: Sunucu bir aygıtı farklı bağlantılar üzerinde takip edebilir

    Açıklama: Durumsuz otomatik adres yapılandırması (SLAAC) kullanılırken aygıt tarafından seçilen IPv6 adresi, aygıtın MAC adresini içerir. Aygıt tarafından erişilen IPv6 özellikli sunucu aygıtı birden çok bağlantı üzerinde takip etmek için bu adresi kullanabilir. Bu güncelleme, giden bağlantılar için geçici bir rastgele adres ekleyerek RFC 3041'de açıklanan IPv6 uzantısını uygular

  • Safari

    Şunlarda kullanılabilir: iPhone 3GS ve sonrası için iOS 3.0 - 4.2.1; iPod touch (3. nesil) ve sonrası için iOS 3.1 - 4.2.1; iPad için iOS 3.2 - 4.2.1

    Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, MobileSafari'nin başlatma sırasında kapanmasına neden olabilir

    Açıklama: Kötü amaçlı olarak oluşturulmuş bir web sitesi, aygıttaki başka bir uygulamanın URL işleyicisiyle arka arkaya başlatılmasına neden olan javascript içerebilir. Bu web sitesinin MobileSafari ile ziyaret edilmesi MobileSafari'nin kapanmasına ve hedef uygulamanın başlatılmasına neden olabilir. Bu işlem sırası, MobileSafari her açıldığında devam eder. Bu sorun, başka bir uygulama URL işleyicisi yoluyla başlatıldıktan sonra Safari yeniden açıldığında önceki sayfaya dönülmesi sağlanarak giderildi.

    CVE kimliği

    CVE-2011-0158: Ernst & Young LLP'den Nitesh Dhanjani

  • Safari

    Şunlarda kullanılabilir: iPhone 3GS ve sonrası için iOS 3.0 - 4.2.1; iPod touch (4. nesil) ve sonrası için iOS 3.0 - 4.2.1; iPad için iOS 4.2 - 4.2.1

    Etki: Safari Ayarları'nda çerezlerin temizlenmesi etkili olmayabilir

    Açıklama: Bazı durumlarda Safari çalışır durumdayken Safari Ayarları'nda çerezlerin temizlenmesi etkili olmayabilir. Bu sorun çerezlerin işlenmesi iyileştirilerek giderildi. Bı sorun iOS 4.0 öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2011-0159: Google Inc.'ten Erik Wong

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve sonrası için iOS 3.0 - 4.2.1; iPod touch (3. nesil) ve sonrası için iOS 3.1 - 4.2.1; iPad için iOS 3.2 - 4.2.1

    Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2010-1792

    CVE-2010-1824: kuzzcc ve TippingPoint Zero Day Initiative ile çalışan team409'dan wushi

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Google Inc.'ten Yuzo Fujishima

    CVE-2011-0113: Nokia'dan Andreas Kling

    CVE-2011-0114: Google Chrome Güvenlik Ekibi'nden Chris Evans

    CVE-2011-0115: TippingPoint Zero Day Initiative ile çalışan J23 ve Google, Inc.'ten Emil A Eklund

    CVE-2011-0116: HP Zero Day Initiative ile çalışan anonim bir araştırmacı

    CVE-2011-0117: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0118: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0119: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0120: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0121: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0124: Google Inc.'ten Yuzo Fujishima

    CVE-2011-0125: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0126: Google, Inc.'ten Mihai Parparita

    CVE-2011-0127: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: team509'dan wushi

    CVE-2011-0132: TippingPoint Zero Day Initiative ile birlikte çalışan team509'dan wushi

    CVE-2011-0133: TippingPoint Zero Day Initiative ile birlikte çalışan team509'dan wushi

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: anonim bir araştırmacı

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Matasano Security'den Chris Rohlf

    CVE-2011-0142: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0143: Slawomir Blazek ve Sergey Glazunov

    CVE-2011-0144: Google, Inc.'ten Emil A Eklund

    CVE-2011-0145: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0146: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Google, Inc.'ten Michal Zalewski

    CVE-2011-0149: TippingPoint Zero Day Initiative ile birlikte çalışan team509'dan wushi ve Google Chrome Güvenlik Ekibi'nden SkyLined

    CVE-2011-0150: safariadblock.com'dan Michael Gundlach

    CVE-2011-0151: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0152: Google Chrome Güvenlik Ekibi'nden Skylined

    CVE-2011-0153: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0154: TippingPoint Zero Day Initiative ile çalışan anonim bir araştırmacı

    CVE-2011-0155: OUSPG'den Aki Helin

    CVE-2011-0156: Google, Inc.'ten Abhishek Arya (Inferno)

    CVE-2011-0157: Mozilla'dan Benoit Jacob

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve sonrası için iOS 3.0 - 4.2.1; iPod touch (3. nesil) ve sonrası için iOS 3.1 - 4.2.1; iPad için iOS 3.2 - 4.2.1

    Etki: HTTP Temel Kimlik Doğrulama kimlik bilgileri yanlışlıkla başka bir siteye iletilebilir

    Açıklama: HTTP Temel Kimlik Doğrulama kullanan bir site başka bir siteye yönlendirilirse kimlik doğrulama bilgileri diğer siteye gönderilebilir. Bu sorun kimlik bilgilerinin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2011-0160: Twelve Hundred Group'tan McIntosh Cooey, Harald Hanche-Olsen, CERT ile çalışan 1111 Internet LLC'den Chuck Hohn ve Braintree'den Paul Hinze

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve sonrası için iOS 3.0 - 4.2.1; iPod touch (3. nesil) ve sonrası için iOS 3.1 - 4.2.1; iPad için iOS 3.2 - 4.2.1

    Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, siteler arası açıklamalara neden olabilir

    Açıklama: WebKit'in Attr.style erişimcisi işlenirken çapraz kaynak sorunu vardı. Kötü amaçlı olarak oluşturulmuş bir web sitesinin ziyaret edilmesi sitenin diğer belgelere CSS eklemesine neden olabilir. Bu sorun Attr.style erişimcisi kaldırılarak giderildi.

    CVE kimliği

    CVE-2011-0161: Apple

  • WebKit

    Şunlarda kullanılabilir: iPhone 3GS ve sonrası için iOS 3.0 - 4.2.1; iPod touch (3. nesil) ve sonrası için iOS 3.1 - 4.2.1; iPad için iOS 3.2 - 4.2.1

    Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesi diğer sitelerin belirli kaynakları istemesini engelleyebilir

    Açıklama: WebKit'in önbelleğe alınan kaynakları işlemesinde bir önbellek zehirlemesi vardı. Kötü amaçlı olarak oluşturulmuş bir web sitesi diğer sitelerin belirli kaynakları istemesini engelleyebilir. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2011-0163: Apple

  • Wi-Fi

    Şunlarda kullanılabilir: iPhone 3GS ve sonrası için iOS 3.0 - 4.2.1; iPod touch (3. nesil) ve sonrası için iOS 3.1 - 4.2.1; iPad için iOS 3.2 - 4.2.1

    Etki: Wi-Fi bağlantısı yapıldığında aynı ağdaki bir saldırgan aygıtın sıfırlanmasına neden olabilir

    Açıklama: Wi-Fi çerçevelerinin işlenmesinde bir sınır denetimi sorunu vardı. Wi-Fi bağlantısı yapıldığında aynı ağdaki bir saldırgan aygıtın sıfırlanmasına neden olabilir.

    CVE kimliği

    CVE-2011-0162: ePlus Technology, inc.'ten Scott Boyd

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: