iOS 4.3.2 Yazılım Güncellemesi'nin güvenlik içeriği hakkında

Bu belgede iOS 4.3.2 Yazılım Güncellemesi'nin güvenlik içeriği açıklanmaktadır.

Bu belgede iOS 4.3.2 Yazılım Güncellemesi'nin güvenlik içeriği açıklanmaktadır. iOS 4.3.2 Yazılım Güncellemesi, iTunes kullanılarak indirilip yüklenebilir.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

iOS 4.3.2 Yazılım Güncellemesi

  • Certificate Trust Policy

    İlgili sürümler: iPhone 3GS ve sonraki modeller için iOS 3.0 ila 4.3.1, iPod touch (3. nesil) ve sonraki modeller için iOS 3.1 ila 4.3.1, iPad için iOS 3.2 ila 4.3.1

    Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir

    Açıklama: Bir Comodo bağlı kuruluş kayıt otoritesi tarafından bazı sahte SSL sertifikaları düzenlendi. Bu, ortadaki adam saldırısı yapan bir saldırganın bağlantıları yönlendirip kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirmesine izin verebilir. Bu sorun, sahte sertifikaların kara listeye alınmasıyla giderilmiştir.

    Not: Mac OS X sistemlerinde bu sorun Güvenlik Güncellemesi 2011-002 ile giderilmiştir. Windows sistemlerinde Safari, bir SSL sunucusu sertifikasının güvenilir olup olmadığını anlamak üzere sunucu işletim sisteminin sertifika mağazasını kullanır. 2524375 numaralı Microsoft bilgi bankası makalesinde açıklanan güncellemenin uygulanması, Safari'nin bu sertifikaları güvenilmez olarak görmesine neden olur. Makaleye şu adresten erişilebilir: http://support.microsoft.com/tr-tr/2524375

  • libxslt

    İlgili sürümler: iPhone 3GS ve sonraki modeller için iOS 3.0 ila 4.3.1, iPod touch (3. nesil) ve sonraki modeller için iOS 3.1 ila 4.3.1, iPad için iOS 3.2 ila 4.3.1

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek yığındaki adreslerin açığa çıkmasına neden olabilir

    Açıklama: libxslt'in generate-id() XPath işlevindeki uygulaması bir yığın arabellekteki adresleri gösterdi. Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek yığındaki adresleri açığa çıkarabilir ve bu da adres alanı rastgele düzen belirlemesi korumasını atlamaya yardımcı olabilir. Bu sorun, iki yığın arabelleğin adresleri arasındaki farka göre bir kimlik oluşturarak giderilmiştir.

    CVE Kimliği

    CVE-2011-0195: Google Chrome Güvenlik Ekibi'nden Chris Evans

  • QuickLook

    İlgili sürümler: iPhone 3GS ve sonraki modeller için iOS 3.0 ila 4.3.1, iPod touch (3. nesil) ve sonraki modeller için iOS 3.1 ila 4.3.1, iPad için iOS 3.2 ila 4.3.1

    Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickLook'un Microsoft Office dosyalarını işlemesinde bir bellek bozulması sorunu vardı. Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

    CVE-ID

    CVE-2011-1417: Charlie Miller ve Dion Blazakis (TippingPoint'in Zero Day Initiative programıyla)

  • WebKit

    İlgili sürümler: iPhone 3GS ve sonraki modeller için iOS 3.0 ila 4.3.1, iPod touch (3. nesil) ve sonraki modeller için iOS 3.1 ila 4.3.1, iPad için iOS 3.2 ila 4.3.1

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Düğüm kümelerinin işlenmesinde bir tam sayı taşması sorunu vardı. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

    CVE Kimliği

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann ve anonim bir araştırmacı (TippingPoint'in Zero Day Initiative programıyla)

  • WebKit

    İlgili sürümler: iPhone 3GS ve sonraki modeller için iOS 3.0 ila 4.3.1, iPod touch (3. nesil) ve sonraki modeller için iOS 3.1 ila 4.3.1, iPad için iOS 3.2 ila 4.3.1

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Metin düğümlerinin işlenmesinde, boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardı. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

    CVE Kimliği

    CVE-2011-1344: Vupen Security (TippingPoint'in Zero Day Initiative programıyla) ve Martin Barbella

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: