iOS 7 güvenlik içeriği hakkında

Bu belgede iOS 7 güvenlik içeriği açıklanır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

iOS 7

  • Sertifika Güven Politikası

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kök sertifikalar güncellendi

    Açıklama: Sistem kökleri listesine çeşitli sertifikalar eklendi veya bu listeden çeşitli sertifikalar kaldırıldı.

  • CoreGraphics

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı olarak oluşturulmuş bir PDF dosyasını görüntülemek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: PDF dosyalarındaki JBIG2 kodlu verilerin işlenmesinde arabellek taşması sorunu vardı. Bu sorun ek sınır denetimi ile giderildi.

    CVE kimliği

    CVE-2013-1025: Google Güvenlik Ekibi'nden Felix Groebert

  • CoreMedia

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını oynatmak, uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Sorenson kodlu film dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-1019: HP Zero Day Initiative ile çalışan Tom Gallagher (Microsoft) ve Paul Bates (Microsoft)

  • Veri Koruması

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Uygulamalar, parola denemesi kısıtlamalarını atlayabilir

    Açıklama: Veri Koruması'nda bir ayrıcalık ayırma sorunu vardı. Üçünü taraf sandbox'ındaki bir uygulama, kullanıcının "Verileri Sil" ayarından bağımsız olarak kullanıcı parolasını arka arkaya belirlemeye çalışabiliyordu. Bu sorun, ek yetki denetimleri zorunlu kılınarak giderildi.

    CVE kimliği

    CVE-2013-0957: Singapore Management University'den Qiang Yan ve Su Mon Kywe ile birlikte çalışan Institute for Infocomm Research'ten Jin Han

  • Veri Güvenliği

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir

    Açıklama: Güvenilir bir kök CA olan TrustWave, güvenilir köklerinden birinden bir alt CA sertifikası yayınladı ve ardından geri aldı. Bu alt CA, Transport Layer Security (TLS) tarafından güvenliği sağlanan iletişimin ele geçirilmesini kolaylaştırır. Bu güncelleme ilgili alt CA sertifikasını OS X'in güvenilmeyen sertifikalar listesine ekler.

    CVE kimliği

    CVE-2013-5134

  • dyld

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Bir aygıt üzerinde rastgele kod yürüten bir saldırgan kod yürütmeyi yeniden başlatmalarda sürdürebilir

    Açıklama: dyld'nin openSharedCacheFile() işlevinde birden çok önbellek taşması vardı. Bu sorunlar sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-3950: Stefan Esser

  • Dosya Sistemleri

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: HFS olmayan bir dosya sistemini başlatabilen bir saldırgan, sistemin beklenmedik şekilde sonlandırılmasına veya çekirdek ayrıcalıkları olan rastgele kod yürütülmesine neden olabilir

    Açıklama: AppleDouble dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, AppleDouble dosyalarına yönelik desteğin kaldırılmasıyla giderildi.

    CVE kimliği

    CVE-2013-3955: Stefan Esser

  • ImageIO

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı olarak oluşturulmuş bir PDF dosyasını görüntülemek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: PDF dosyalarındaki JPEG2000 kodlu verilerin işlenmesinde arabellek taşması sorunu vardı. Bu sorun ek sınır denetimi ile giderildi.

    CVE kimliği

    CVE-2013-1026: Google Güvenlik Ekibi'nden Felix Groebert

  • IOKit

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Arkaplan uygulamaları, kullanıcı arabirimi etkinliklerini ön plan uygulamalarına ekleyebilir

    Açıklama: Arkaplan uygulamalarının, görev tamamlama veya VoIP API'larını kullanarak kullanıcı arabirimi etkinliklerini ön plan uygulamalarına eklemesi mümkündü. Bu sorun, arabirim etkinliklerini işleyen ön plan ve arkaplan işlemlerine erişim denetimleri uygulanarak giderildi.

    CVE kimliği

    CVE-2013-5137: Mobile Labs'ten Mackenzie Straight

  • IOKitUser

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir yerel uygulama sistemin beklenmeyen şekilde sonlanmasına neden olabilir

    Açıklama: IOCatalogue içinde null işaretçi dereferansı vardı. Sorun ek tür denetimi ile giderildi.

    CVE kimliği

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulamanın çalıştırılması çekirdek içinde rastgele kod yürütülmesine neden olabilir

    Açıklama: IOSerialFamily sürücüsünde sınırların dışında bir dizi erişimi vardı. Bu sorun ek sınır denetimi ile giderildi.

    CVE kimliği

    CVE-2013-5139: @dent1zt

  • IPSec

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: IPSec Hybrid Auth ile korunan verilere bir saldırgan erişmiş olabilir

    Açıklama: Bir IPSec Hybrid Auth sunucusunun DNS adı sertifika ile eşleştirilmiyordu, böylece herhangi bir sunucu için sertifikası olan bir saldırganın başka birini taklit etmesine izin veriliyordu. Bu sorun, sertifika denetiminin iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2013-1028: www.traud.de'den Alexander Traud

  • Çekirdek

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Uzak bir saldırgan bir aygıtın beklenmeyen bir şekilde yeniden başlamasına neden olabilir

    Açıklama: Bir aygıta geçersiz bir paket parçasının gönderilmesi bir çekirdek bildiriminin tetiklenmesine ve aygıtın yeniden başlamasına neden olabilir. Bu sorun ek paket parçaları doğrulaması ile giderildi.

    CVE kimliği

    CVE-2013-5140: Codenomicon'dan Joonas Kuorilehto, CERT-FI ile çalışan anonim bir araştırmacı, Stonesoft'taki Vulnerability Analysis Group'tan Antti Levomäki ve Lauri Virtanen

  • Çekirdek

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı yerel bir uygulama, aygıtın asılı kalmasına neden olabilir

    Açıklama: Çekirdek yuvası arabirimindeki bir tamsayı kesilmesi açığı CPU'yu sonsuz bir döngüye girmeye zorlamak için kullanılabilirdi. Bu sorun daha büyük boyutlu bir değişken kullanılarak giderildi.

    CVE kimliği

    CVE-2013-5141: CESG

  • Çekirdek

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Yerel ağdaki bir saldırgan bir servisin reddine neden olabilir

    Açıklama: Yerel ağdaki bir saldırgan özel olarak oluşturulmuş IPv6 ICMP paketleri gönderebilir ve yüksek düzeyde CPU yüküne neden olabilir. Bu sorun, sağlama toplamlarını doğrulamadan önce ICMP paketlerine hız sınırlaması uygulayarak giderildi.

    CVE kimliği

    CVE-2011-2391: Marc Heuse

  • Çekirdek

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Çekirdek yığın belleği yerel kullanıcıların kullanımına açılabilir

    Açıklama: msgctl ve segctl API'lerinde bilgilerin kullanıma açılması sorunu vardı. Bu sorun çekirdekten döndürülen veri yapılarının başlatılmasıyla giderildi.

    CVE kimliği

    CVE-2013-5142: Kenx Technology, Inc şirketinden Kenzley Alphonse

  • Çekirdek

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Yetkisiz işlemler çekirdek belleğinin içeriğine erişebilir, dolayısıyla da ayrıcalık önceliğinin yükselmesine neden olabilir

    Açıklama: mach_port_space_info API'sında bir bilgi ifşası sorunu vardı. Bu sorun çekirdeğin döndürdüğü yapılarda iin_collision alanının başlatılmasıyla giderildi.

    CVE kimliği

    CVE-2013-3953: Stefan Esser

  • Çekirdek

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Ayrıcalığı olmayan işlemler sistemin beklenmeyen şekilde sonlanmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir

    Açıklama: posix_spawn API'sine geçirilen bağımsız değişkenlerin işlenmesinde bellek bozulması sorunu vardı. Bu sorun ek sınır denetimi ile giderildi.

    CVE kimliği

    CVE-2013-3954: Stefan Esser

  • Kext Yönetimi

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Yetkisiz bir işlem yüklü çekirdek uzantıları setini değiştirebilir

    Açıklama: kextd'nin kimliği doğrulanmamış gönderenlerden gelen IPC mesajlarını işlemesinde bir sorun vardı. Bu sorun başka yetki denetimleri eklenerek giderildi.

    CVE kimliği

    CVE-2013-5145: "Rainbow PRISM"

  • libxml

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sayfasını görüntülemek, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: libxml'te birden çok bellek bozulması sorunu tespit edildi. Bu sorunlar libxml'yi 2.9.0 sürümüne güncelleyerek giderildi.

    CVE kimliği

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Güvenlik Ekibi (Jüri Aedla)

  • libxslt

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sayfasını görüntülemek, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: libxslt'de birden çok bellek bozulması sorunu tespit edildi. Bu sorunlar libxslt'yi 1.1.28 sürümüne güncelleyerek giderildi.

    CVE kimliği

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Fortinet'in FortiGuard Laboratuvarları'ndan Kai Lu, Nicolas Gregoire

  • Parolayla Kilitleme

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Aygıta fiziksel erişimi olan bir kişi ekran kilidini atlayabilir

    Açıklama: Kilitli ekranda telefon araması ve SIM kart çıkartma işlemlerinde yarış koşulu sorunu vardı. Bu sorun, kilit durumu yönetimiyle giderildi.

    CVE kimliği

    CVE-2013-5147: videosdebarraquito

  • Kişisel Erişim Noktası

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Bir saldırgan, Kişisel Erişim Noktası ağına katılabilir

    Açıklama: Kişisel Erişim Noktası parolalarının oluşturulmasında, saldırganların, Kişisel Erişim Noktası'na katılabilmek için tahmin edebileceği parolalar oluşturulmasına neden olan bir sorun vardı. Bu sorun, parolaların daha yüksek oranda entropiyle oluşturulmasıyla giderildi.

    CVE kimliği

    CVE-2013-4616: NESO Security Labs'ten Andreas Kurtz ve University Erlangen-Nuremberg'den Daniel Metz

  • Anında İlet Bildirimleri

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Anında iletme bildirimi belirteci, kullanıcının kararının aksine bir uygulamaya ifşa edilebiliyor

    Açıklama: Anında iletme bildirimi kaydında bilgi ifşası sorunu vardı. Anında iletme bildirimine erişmek isteyen uygulamalar, kullanıcı, uygulamanın anında iletme bildirimlerini kullanmasına onay vermeden önce alınan belirtece erişebiliyordu. Bu sorun, kullanıcı erişim onayı verene kadar belirtece erişimin durdurulmasıyla giderildi.

    CVE kimliği

    CVE-2013-5149: Grouper, Inc. kuruluşundan Jack Flintermann

  • Safari

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: XML dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun ek sınır denetimi ile giderildi.

    CVE kimliği

    CVE-2013-1036: Fortinet FortiGuard Labs'ten Kai Lu

  • Safari

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Açık bir sekmede olup en son ziyaret edilen sayfaların geçmişi, geçmiş silindikten sonra kalabilir

    Açıklama: Clearing Safari'nin geçmişinin silinmesi, açık sekmeler için geriye/ileriye dönük geçmişi silmiyordu. Bu sorun, geriye/ileriye dönük geçmişin silinmesiyle giderildi.

    CVE kimliği

    CVE-2013-5150

  • Safari

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Bir web sayfasındaki dosyaların görüntülenmesi, sunucu bir "Content-Type: text/plain" başlığı göndermesine rağmen betik yürütülmesine neden olabilir

    Açıklama: Sunucu bir "Content-Type: text/plain" başlığı göndermiş olmasına rağmen Mobile Safari bazen dosyalara HTML dosyaları olarak davranıyordu. Bu, kullanıcıların dosya yüklemesine izin veren sitelerde siteler arası betik çalıştırılmasına neden olabilir. Bu sorun, "Content-Type: text/plain" ayarlandığında dosyaların gelişmiş şekilde işlenmesiyle giderildi.

    CVE kimliği

    CVE-2013-5151: Github'dan Ben Toews

  • Safari

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi rastgele bir URL'nin görüntülenmesine izin verebilir

    Açıklama: Mobile Safari'de bir URL çubuğu yanıltma sorunu vardı. Bu sorun, URL izlemenin geliştirilmesiyle giderildi.

    CVE kimliği

    CVE-2013-5152: keitahaga.com'dan Keita Haga, RBS'den Łukasz Pilorz

  • Sandbox

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Betik olan uygulamalar sandboxed hale getirilemiyordu

    Açıklama: Betik çalıştırmak için #! sözdizimini kullanan üçüncü taraf uygulamaları, betiğin değil betik yorumcusunun kimliğine göre sandboxed hale getiriliyordu. Yorumcunun tanımlı bir sandbox'ı olmayabilir, dolayısıyla da uygulamanın sandboxed hale getirilemeden çalışmasına neden olabilir. Bu sorun, betiğin kimliğine göre sandbox yaratılmasıyla giderildi.

    CVE kimliği

    CVE-2013-5154: evad3rs

  • Sandbox

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Uygulamalar bir sistemin askıda kalmasına neden olabilir

    Açıklama: /dev/random aygıtına belirli değerler yazan kötü amaçlı üçüncü taraf uygulamalar CPU'yu sonsuz bir döngüye girmeye zorlayabilir. Bu sorun, üçüncü taraf uygulamaların /dev/random aygıtına yazmasının önlenmesiyle giderildi.

    CVE kimliği

    CVE-2013-5155: CESG

  • Sosyal

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kullanıcıların son Twitter etkinliği parolası olmayan aygıtlarda ifşa edilebilir.

    Açıklama: Bir kullanıcının yakın zaman içinde etkileşime girdiği Twitter hesaplarının belirlenmesini mümkün kılan bir sorun vardı. Bu sorun, Twitter simgesi önbelleğine erişimin kısıtlanmasıyla giderildi.

    CVE kimliği

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kayıp Modundaki bir aygıta fiziksel erişimi olan bir kişi bildirimleri görüntüleyebilir

    Açıklama: Aygıt Kayıp Modundayken bildirimlerin işlenmesinde bir sorun vardı. Bu güncelleme, gelişmiş kilit durumu yönetimi yoluyla sorunu gidermektedir.

    CVE kimliği

    CVE-2013-5153: Daniel Stangroom

  • Telefon

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı uygulamalar telefon işlevleriyle çakışabilir veya denetimini ele geçirebilir

    Açıklama: Telefon alt sisteminde bir erişim denetimi sorunu vardı. Desteklenen API'ları atlayan sandboxed hale getirilmiş uygulamalar, doğrudan bir sistem arka plan uygulamasına, telefon işlevleriyle çakışan veya denetimini sağlayan istekler yapabilir. Bu sorun, telefon arka plan uygulaması tarafından ifşa edilen arabirimlerde erişim denetimlerinin uygulanmasıyla giderildi.

    CVE kimliği

    CVE-2013-5156: Singapore Management University'den Qiang Yan ve Su Mon Kywe ile birlikte çalışan Institute for Infocomm Research'ten Jin Han; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung ve Georgia Institute of Technology'den Wenke Lee

  • Twitter

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Sandboxed uygulamaları kullanıcı etkileşimi veya izni olmadan tweet gönderebilir

    Açıklama: Twitter alt sisteminde bir erişim denetimi sorunu vardı. Desteklenen API'ları atlayan sandboxed uygulamaları, doğrudan bir sistem arka plan uygulamasına, Twitter işlevleriyle çakışan veya denetimini sağlayan istekler yapabilir. Bu sorun, Twitter arka plan uygulaması tarafından ifşa edilen arabirimlerde erişim denetimlerinin uygulanmasıyla giderildi.

    CVE kimliği

    CVE-2013-5157: Singapore Management University'den Qiang Yan ve Su Mon Kywe ile birlikte çalışan Institute for Infocomm Research'ten Jin Han; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung ve Georgia Institute of Technology'den Wenke Lee

  • WebKit

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-0879: OUSPG'den Atte Kettunen

    CVE-2013-0991: Chromium geliştirme topluluğundan Jay Civelli

    CVE-2013-0992: Google Chrome Güvenlik Ekibi (Martin Barbella)

    CVE-2013-0993: Google Chrome Güvenlik Ekibi (Inferno)

    CVE-2013-0994: Google'dan David German

    CVE-2013-0995: Google Chrome Güvenlik Ekibi (Inferno)

    CVE-2013-0996: Google Chrome Güvenlik Ekibi (Inferno)

    CVE-2013-0997: HP Zero Day Initiative ile çalışan Vitaliy Toropov

    CVE-2013-0998: HP Zero Day Initiative ile çalışan pa_kt

    CVE-2013-0999: HP Zero Day Initiative ile çalışan pa_kt

    CVE-2013-1000: Google Güvenlik Ekibi'nden Fermin J. Serna

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Güvenlik Ekibi (Inferno)

    CVE-2013-1004: Google Chrome Güvenlik Ekibi (Martin Barbella)

    CVE-2013-1005: Google Chrome Güvenlik Ekibi (Martin Barbella)

    CVE-2013-1006: Google Chrome Güvenlik Ekibi (Martin Barbella)

    CVE-2013-1007: Google Chrome Güvenlik Ekibi (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome Güvenlik Ekibi

    CVE-2013-1038: Google Chrome Güvenlik Ekibi

    CVE-2013-1039: iDefense VCP ile çalışan own-hero Research

    CVE-2013-1040: Google Chrome Güvenlik Ekibi

    CVE-2013-1041: Google Chrome Güvenlik Ekibi

    CVE-2013-1042: Google Chrome Güvenlik Ekibi

    CVE-2013-1043: Google Chrome Güvenlik Ekibi

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome Güvenlik Ekibi

    CVE-2013-1046: Google Chrome Güvenlik Ekibi

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome Güvenlik Ekibi

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome Güvenlik Ekibi

    CVE-2013-5128: Apple

  • WebKit

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi bilgilerin ifşa edilmesine neden olabilir

    Açıklama: window.webkitRequestAnimationFrame() API'sının işlenmesinde bir bilgi ifşası sorunu vardı. Kötü amaçla oluşturulmuş bir web sitesi, başka bir sitenin window.webkitRequestAnimationFrame() kullanıp kullanmadığını belirlemek için bir iframe kullanabilir. Bu sorun, window.webkitRequestAnimationFrame() API'sının işlenmesinin geliştirilmesiyle giderildi.

    CVE kimliği

    CVE-2013-5159

  • WebKit

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etkisi: Kötü amaçlı HTML kod parçacığı kopyalayıp yapıştırmak siteler arası betik çalıştırma saldırısına neden olabilir

    Açıklama: HTML belgelerindeki verilerin kopyalanıp yapıştırılması siteler arası betik çalıştırma sorununa yol açıyordu. Bu sorun yapıştırılan içeriğe ek doğrulama yapılmasıyla giderildi.

    CVE kimliği

    CVE-2013-0926: xys3c'den (xysec.com) Aditya Gupta, Subho Halder ve Dev Kar

  • WebKit

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etkisi: Kötü amaçla oluşturulmuş bir web sitesini ziyaret etmek, siteler arası betik saldırısına neden olabilir

    Açıklama: iframe'lerin işlenmesinde siteler arası betik çalıştırma sorunu vardı. Bu sorun, iyileştirilmiş kaynak izlemeyle giderildi.

    CVE kimliği

    CVE-2013-1012: Facebook'tan Subodh Iyengar ve Erling Ellingsen

  • WebKit

    Şu ürünlerde kullanılabilir: iPhone 3GS ve sonraki modelleri, iPod touch (4. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçla oluşturulmuş bir web sitesinin ziyaret edilmesi bilgilerin ifşa edilmesine neden olabilir

    Açıklama: XSSAuditor'da bilgi ifşası sorunu vardı. Bu sorun, URL'lerin işlenmesinin geliştirilmesiyle giderildi.

    CVE kimliği

    CVE-2013-2848: Egor Homakov

  • WebKit

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Bir seçimin sürüklenmesi veya yapıştırılması siteler arası betik saldırısına neden olabilir

    Açıklama: Bir siteden diğerine bir seçimin sürüklenmesi veya yapıştırılması seçimde bulunan betiklerin yeni sitenin içeriğinde çalıştırılmasına neden olabilir. Bu sorun, yapıştırma veya sürükleme ve bırakma işleminden önce içeriğin ek bir biçimde doğrulanmasıyla giderildi.

    CVE kimliği

    CVE-2013-5129: Mario Heiderich

  • WebKit

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etkisi: Kötü amaçla oluşturulmuş bir web sitesini ziyaret etmek, siteler arası betik saldırısına neden olabilir

    Açıklama: URL'lerin işlenmesinde siteler arası betik çalıştırma sorunu vardı. Bu sorun, iyileştirilmiş kaynak izlemeyle giderildi.

    CVE kimliği

    CVE-2013-5131: Erling A Ellingsen

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: