iOS 4.3.2 Yazılım Güncellemesi'nin güvenlik içeriği hakkında
Bu belgede iOS 4.3.2 Yazılım Güncellemesi'nin güvenlik içeriği açıklanmaktadır.
Bu belgede iOS 4.3.2 Yazılım Güncellemesi'nin güvenlik içeriği açıklanmaktadır. iOS 4.3.2 Yazılım Güncellemesi, iTunes kullanılarak indirilip yüklenebilir.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
iOS 4.3.2 Yazılım Güncellemesi
Certificate Trust Policy
İlgili sürümler: iPhone 3GS ve sonraki modeller için iOS 3.0 ila 4.3.1, iPod touch (3. nesil) ve sonraki modeller için iOS 3.1 ila 4.3.1, iPad için iOS 3.2 ila 4.3.1
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir
Açıklama: Bir Comodo bağlı kuruluş kayıt otoritesi tarafından bazı sahte SSL sertifikaları düzenlendi. Bu, ortadaki adam saldırısı yapan bir saldırganın bağlantıları yönlendirip kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirmesine izin verebilir. Bu sorun, sahte sertifikaların kara listeye alınmasıyla giderilmiştir.
Not: Mac OS X sistemlerinde bu sorun Güvenlik Güncellemesi 2011-002 ile giderilmiştir. Windows sistemlerinde Safari, bir SSL sunucusu sertifikasının güvenilir olup olmadığını anlamak üzere sunucu işletim sisteminin sertifika mağazasını kullanır. 2524375 numaralı Microsoft bilgi bankası makalesinde açıklanan güncellemenin uygulanması, Safari'nin bu sertifikaları güvenilmez olarak görmesine neden olur. Makaleye şu adresten erişilebilir: http://support.microsoft.com/tr-tr/2524375
libxslt
İlgili sürümler: iPhone 3GS ve sonraki modeller için iOS 3.0 ila 4.3.1, iPod touch (3. nesil) ve sonraki modeller için iOS 3.1 ila 4.3.1, iPad için iOS 3.2 ila 4.3.1
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek yığındaki adreslerin açığa çıkmasına neden olabilir
Açıklama: libxslt'in generate-id() XPath işlevindeki uygulaması bir yığın arabellekteki adresleri gösterdi. Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek yığındaki adresleri açığa çıkarabilir ve bu da adres alanı rastgele düzen belirlemesi korumasını atlamaya yardımcı olabilir. Bu sorun, iki yığın arabelleğin adresleri arasındaki farka göre bir kimlik oluşturarak giderilmiştir.
CVE Kimliği
CVE-2011-0195: Google Chrome Güvenlik Ekibi'nden Chris Evans
QuickLook
İlgili sürümler: iPhone 3GS ve sonraki modeller için iOS 3.0 ila 4.3.1, iPod touch (3. nesil) ve sonraki modeller için iOS 3.1 ila 4.3.1, iPad için iOS 3.2 ila 4.3.1
Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: QuickLook'un Microsoft Office dosyalarını işlemesinde bir bellek bozulması sorunu vardı. Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
CVE-ID
CVE-2011-1417: Charlie Miller ve Dion Blazakis (TippingPoint'in Zero Day Initiative programıyla)
WebKit
İlgili sürümler: iPhone 3GS ve sonraki modeller için iOS 3.0 ila 4.3.1, iPod touch (3. nesil) ve sonraki modeller için iOS 3.1 ila 4.3.1, iPad için iOS 3.2 ila 4.3.1
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Düğüm kümelerinin işlenmesinde bir tam sayı taşması sorunu vardı. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
CVE Kimliği
CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann ve anonim bir araştırmacı (TippingPoint'in Zero Day Initiative programıyla)
WebKit
İlgili sürümler: iPhone 3GS ve sonraki modeller için iOS 3.0 ila 4.3.1, iPod touch (3. nesil) ve sonraki modeller için iOS 3.1 ila 4.3.1, iPad için iOS 3.2 ila 4.3.1
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Metin düğümlerinin işlenmesinde, boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardı. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
CVE Kimliği
CVE-2011-1344: Vupen Security (TippingPoint'in Zero Day Initiative programıyla) ve Martin Barbella
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.