iOS 7.1 güvenlik içeriği hakkında
Bu belgede iOS 7.1'in güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.
Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.
Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
iOS 7.1
Yedekleme
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir yedekleme, dosya sistemini değiştirebilir
Açıklama: Geri yükleme işlemi sırasında bir yedeklemede, daha sonraki işlemlerin dosya sisteminin kalan bölümüne yazmasına olanak verebilen sembolik bir bağlantı geri yükleniyordu. Bu sorun geri yükleme işlemi sırasında sembolik bağlantılar kontrol edilerek giderildi.
CVE kimliği
CVE-2013-5133: evad3rs
Sertifika Güven Politikası
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kök sertifikalar güncellendi
Açıklama: Sistem kökleri listesine çeşitli sertifikalar eklendi veya bu listeden çeşitli sertifikalar kaldırıldı.
Konfigürasyon Profilleri
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Profil son kullanma tarihlerine uyulmadı
Açıklama: Mobil konfigürasyon profillerinin son kullanma tarihleri doğru değerlendirilmiyordu. Bu sorun konfigürasyon profillerinin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1267
CoreCapture
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir uygulama sistemin beklenmeyen şekilde sonlandırılmasına neden olabilir
Açıklama: CoreCapture, IOKit API çağrılarının işlenmesinde bir ulaşılabilir onay sorunu vardı. Bu sorun IOKit'ten gelen girdiye ek doğrulama yapılarak giderildi.
CVE kimliği
CVE-2014-1271: Filippo Bigarella
Çökme Raporu
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Bölgede bulunan bir kullanıcı, rastgele dosyalarda izinleri değiştirebilir
Açıklama: CrashHouseKeeping dosyalardaki izinleri değiştirirken sembolik bağlantıları izliyordu. Bu sorun dosyalardaki izinler değiştirilirken sembolik bağlantıların izlenmemesiyle giderildi.
CVE kimliği
CVE-2014-1272: evad3rs
dyld
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kod imzalama gereksinimi atlanabilir
Açıklama: Dinamik arşivlerdeki metin yeniden yerleştirme yönergeleri, dyld tarafından kod imzası doğrulaması olmadan yüklenebiliyordu. Bu sorun metin yeniden yerleştirme yönergeleri göz ardı edilerek giderildi.
CVE kimliği
CVE-2014-1273: evad3rs
FaceTime
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Aygıta fiziksel erişimi olan bir kişi kilitli ekrandan FaceTime kişilerine erişebilir
Açıklama: Kilitli ekrandan başarısız bir FaceTime çağrısı yapılarak kilitli aygıttaki FaceTime kişileri açığa çıkarılabiliyordu. Bu sorun FaceTime çağrılarının işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1274
ImageIO
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı olarak oluşturulmuş bir PDF dosyasını görüntülemek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: PDF dosyalarındaki JPEG2000 görüntülerinin işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1275: Google Güvenlik Ekibi'nden Felix Groebert
ImageIO
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir TIFF dosyasının görüntülenmesi, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Libtiff'in TIFF görüntülerini işlemesinde arabellek taşması vardı. Bu sorun, TIFF görüntülerinde ek doğrulama yapılarak giderildi.
CVE kimliği
CVE-2012-2088
ImageIO
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasını görüntülemek, bellek içeriğinin ifşa edilmesine yol açabilir
Açıklama: Libjpeg'in JPEG işaretçilerini işlemesinde, bellek içeriğinin ifşa edilmesine yol açan başlatılmamış bellek erişimi sorunu vardı. Bu sorun JPEG dosyalarına ek doğrulama yapılarak giderildi.
CVE kimliği
CVE-2013-6629: Michal Zalewski
IOKit HID Olayı
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir uygulama diğer uygulamalardaki kullanıcı eylemlerini izleyebilir
Açıklama: IOKit çerçevesindeki bir arabirim kötü amaçlı uygulamaların diğer uygulamalardaki kullanıcı eylemlerini izlemesine olanak sağlıyordu. Bu sorun çerçevedeki erişim denetimi politikalarının iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2014-1276: FireEye'dan Min Zheng, Hui Xue ve Dr. Tao (Lenx) Wei
iTunes Store
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Bir saldırgan (aradaki adam saldırısı kullanarak) bir kullanıcıyı Kurumsal Uygulama İndirme yoluyla kötü amaçlı uygulama indirmesi için kandırabilir
Açıklama: Ayrıcalıklı bir ağ konumuna sahip bir saldırgan ağ iletişimini bir kullanıcıyı kötü amaçlı uygulama indirmeye kandırmak üzere değiştirebiliyordu. Bu sorun SSL kullanılarak ve URL yeniden yönlendirmeleri sırasında kullanıcıya komutlar verilerek aşıldı.
CVE kimliği
CVE-2013-3948: Stefan Esser
Çekirdek
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Yerel kullanıcı sistemin beklenmedik şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir
Açıklama: ARM ptmx_get_ioctl fonksiyonunda sınırların dışında belleğe erişim sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1278: evad3rs
Office Viewer
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Word dosyasını açmak, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Microsoft Word belgelerinin işlenmesinde çift serbest bırakma sorunu vardı. Bu sorun iyileştirilmiş bellek yönetimiyle giderildi.
CVE kimliği
CVE-2014-1252: Google Güvenlik Ekibi'nden Felix Groebert
Fotoğraflar Arka Ucu
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Silinen resimler Fotoğraflar uygulamasında, saydam resimler altında görünmeye devam edebilir
Açıklama: Varlık arşivinden bir resmin silinmesi resmin önbelleğe alınan kopyasını silmiyordu. Bu sorun iyileştirilmiş önbellek yönetimiyle giderildi.
CVE kimliği
CVE-2014-1281: Hoelblinger.com'dan Walter Hoelblinger, Morgan Adams, Tom Pennington
Profiller
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Bir konfigürasyon profili kullanıcıdan gizlenmiş olabilir
Açıklama: Uzun ada sahip bir konfigürasyon profili aygıta yükleniyor ancak kullanıcı arabiriminde görünmeyebiliyordu. Bu sorun profil adlarının işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1282: Skycure'dan Assaf Hefetz, Yair Amit ve Adi Sharabani
Safari
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kullanıcı kimlik bilgileri, otomatik doldurma üzerinden beklenmedik bir siteye ifşa edilebilir
Açıklama: Safari, ana çerçevedekinden farklı bir etki alanını gösteren bir alt çerçeveye kullanıcı adlarını ve parolalarını otomatik olarak girebiliyordu. Bu sorun, iyileştirilmiş kaynak takibiyle giderildi.
CVE kimliği
CVE-2013-5227: Klarna AB'den Niklas Malmgren
Ayarlar - Hesaplar
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Aygıta fiziksel erişimi olan bir kişi iCloud parolası girmeden iPhone'umu Bul seçeneğini etkisizleştirebilir
Açıklama: iPhone'umu Bul durumunun işlenmesinde bir durum yönetimi sorunu vardı. Bu sorun iPhone'umu Bul durumunun işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-2019
Springboard
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Aygıta fiziksel erişimi olan bir kişi, aygıt etkinleştirilmese bile aygıtın ana ekranını görebilir
Açıklama: Etkinleştirme sırasında bir uygulamanın beklenmedik şekilde sonlandırılması telefonun ana ekranı göstermesine neden olabiliyordu. Bu sorun etkinleştirme sırasında hata işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1285: Roboboi99
SpringBoard Kilitli Ekran
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Uzak saldırgan kilitli ekranın yanıt vermemesine neden olabilir
Açıklama: Kilitli ekranda durum yönetimi sorunu vardı. Bu sorun, durum yönetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1286: M-sec.net'ten Bogdan Alecu
TelephonyUI Çerçevesi
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Bir web sayfası kullanıcı etkileşimi olmadan FaceTime sesli araması tetikleyebilir
Açıklama: Safari facetime-audio:// URL'lerini başlatmadan önce kullanıcıya danışmıyordu. Bu sorun, onay istemi eklenerek giderildi.
CVE kimliği
CVE-2013-6835: Guillaume Ross
USB Ana Makinesi
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Aygıta fiziksel erişimi olan bir kişi çekirdek modunda rastgele kod yürütülmesine neden olabilir
Açıklama: USB iletilerinin işlenmesinde bellek bozulması sorunu vardı. Bu sorun USB iletilerine ek doğrulama yapılarak giderildi.
CVE kimliği
CVE-2014-1287: NCC Group'tan Andy Davis
Video Sürücüsü
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir video oynatmak aygıtın yanıt vermemesine neden olabilir
Açıklama: MPEG-4 kodlu dosyaların işlenmesinde null dereferans sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-1280: rg0rd
WebKit
İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-2909: OUSPG'den Atte Kettunen
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Google Chrome Güvenlik Ekibi
CVE-2013-5196: Google Chrome Güvenlik Ekibi
CVE-2013-5197: Google Chrome Güvenlik Ekibi
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Google Chrome Güvenlik Ekibi
CVE-2013-5228: HP Zero Day Initiative ile çalışan Keen Ekibi (@K33nTeam)
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: HP Zero Day Initiative ile çalışan ant4g0nist (SegFault); Google Chrome Güvenlik Ekibi; Institute for Infocomm Research, Infocomm Security Department'tan S.P.T. Krishnan ile birlikte çalışan Lee Wang Hao
CVE-2014-1291: Google Chrome Güvenlik Ekibi
CVE-2014-1292: Google Chrome Güvenlik Ekibi
CVE-2014-1293: Google Chrome Güvenlik Ekibi
CVE-2014-1294: Google Chrome Güvenlik Ekibi
FaceTime her ülkede veya bölgede kullanılamaz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.