iOS 7.1 güvenlik içeriği hakkında

Bu belgede iOS 7.1'in güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

iOS 7.1

  • Yedekleme

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir yedekleme, dosya sistemini değiştirebilir

    Açıklama: Geri yükleme işlemi sırasında bir yedeklemede, daha sonraki işlemlerin dosya sisteminin kalan bölümüne yazmasına olanak verebilen sembolik bir bağlantı geri yükleniyordu. Bu sorun geri yükleme işlemi sırasında sembolik bağlantılar kontrol edilerek giderildi.

    CVE kimliği

    CVE-2013-5133: evad3rs

  • Sertifika Güven Politikası

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kök sertifikalar güncellendi

    Açıklama: Sistem kökleri listesine çeşitli sertifikalar eklendi veya bu listeden çeşitli sertifikalar kaldırıldı.

  • Konfigürasyon Profilleri

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Profil son kullanma tarihlerine uyulmadı

    Açıklama: Mobil konfigürasyon profillerinin son kullanma tarihleri doğru değerlendirilmiyordu. Bu sorun konfigürasyon profillerinin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1267

  • CoreCapture

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama sistemin beklenmeyen şekilde sonlandırılmasına neden olabilir

    Açıklama: CoreCapture, IOKit API çağrılarının işlenmesinde bir ulaşılabilir onay sorunu vardı. Bu sorun IOKit'ten gelen girdiye ek doğrulama yapılarak giderildi.

    CVE kimliği

    CVE-2014-1271: Filippo Bigarella

  • Çökme Raporu

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Bölgede bulunan bir kullanıcı, rastgele dosyalarda izinleri değiştirebilir

    Açıklama: CrashHouseKeeping dosyalardaki izinleri değiştirirken sembolik bağlantıları izliyordu. Bu sorun dosyalardaki izinler değiştirilirken sembolik bağlantıların izlenmemesiyle giderildi.

    CVE kimliği

    CVE-2014-1272: evad3rs

  • dyld

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kod imzalama gereksinimi atlanabilir

    Açıklama: Dinamik arşivlerdeki metin yeniden yerleştirme yönergeleri, dyld tarafından kod imzası doğrulaması olmadan yüklenebiliyordu. Bu sorun metin yeniden yerleştirme yönergeleri göz ardı edilerek giderildi.

    CVE kimliği

    CVE-2014-1273: evad3rs

  • FaceTime

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Aygıta fiziksel erişimi olan bir kişi kilitli ekrandan FaceTime kişilerine erişebilir

    Açıklama: Kilitli ekrandan başarısız bir FaceTime çağrısı yapılarak kilitli aygıttaki FaceTime kişileri açığa çıkarılabiliyordu. Bu sorun FaceTime çağrılarının işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1274

  • ImageIO

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı olarak oluşturulmuş bir PDF dosyasını görüntülemek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: PDF dosyalarındaki JPEG2000 görüntülerinin işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1275: Google Güvenlik Ekibi'nden Felix Groebert

  • ImageIO

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir TIFF dosyasının görüntülenmesi, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Libtiff'in TIFF görüntülerini işlemesinde arabellek taşması vardı. Bu sorun, TIFF görüntülerinde ek doğrulama yapılarak giderildi.

    CVE kimliği

    CVE-2012-2088

  • ImageIO

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasını görüntülemek, bellek içeriğinin ifşa edilmesine yol açabilir

    Açıklama: Libjpeg'in JPEG işaretçilerini işlemesinde, bellek içeriğinin ifşa edilmesine yol açan başlatılmamış bellek erişimi sorunu vardı. Bu sorun JPEG dosyalarına ek doğrulama yapılarak giderildi.

    CVE kimliği

    CVE-2013-6629: Michal Zalewski

  • IOKit HID Olayı

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama diğer uygulamalardaki kullanıcı eylemlerini izleyebilir

    Açıklama: IOKit çerçevesindeki bir arabirim kötü amaçlı uygulamaların diğer uygulamalardaki kullanıcı eylemlerini izlemesine olanak sağlıyordu. Bu sorun çerçevedeki erişim denetimi politikalarının iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-1276: FireEye'dan Min Zheng, Hui Xue ve Dr. Tao (Lenx) Wei

  • iTunes Store

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Bir saldırgan (aradaki adam saldırısı kullanarak) bir kullanıcıyı Kurumsal Uygulama İndirme yoluyla kötü amaçlı uygulama indirmesi için kandırabilir

    Açıklama: Ayrıcalıklı bir ağ konumuna sahip bir saldırgan ağ iletişimini bir kullanıcıyı kötü amaçlı uygulama indirmeye kandırmak üzere değiştirebiliyordu. Bu sorun SSL kullanılarak ve URL yeniden yönlendirmeleri sırasında kullanıcıya komutlar verilerek aşıldı.

    CVE kimliği

    CVE-2013-3948: Stefan Esser

  • Çekirdek

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Yerel kullanıcı sistemin beklenmedik şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir

    Açıklama: ARM ptmx_get_ioctl fonksiyonunda sınırların dışında belleğe erişim sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1278: evad3rs

  • Office Viewer

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Word dosyasını açmak, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Microsoft Word belgelerinin işlenmesinde çift serbest bırakma sorunu vardı. Bu sorun iyileştirilmiş bellek yönetimiyle giderildi.

    CVE kimliği

    CVE-2014-1252: Google Güvenlik Ekibi'nden Felix Groebert

  • Fotoğraflar Arka Ucu

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Silinen resimler Fotoğraflar uygulamasında, saydam resimler altında görünmeye devam edebilir

    Açıklama: Varlık arşivinden bir resmin silinmesi resmin önbelleğe alınan kopyasını silmiyordu. Bu sorun iyileştirilmiş önbellek yönetimiyle giderildi.

    CVE kimliği

    CVE-2014-1281: Hoelblinger.com'dan Walter Hoelblinger, Morgan Adams, Tom Pennington

  • Profiller

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Bir konfigürasyon profili kullanıcıdan gizlenmiş olabilir

    Açıklama: Uzun ada sahip bir konfigürasyon profili aygıta yükleniyor ancak kullanıcı arabiriminde görünmeyebiliyordu. Bu sorun profil adlarının işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1282: Skycure'dan Assaf Hefetz, Yair Amit ve Adi Sharabani

  • Safari

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kullanıcı kimlik bilgileri, otomatik doldurma üzerinden beklenmedik bir siteye ifşa edilebilir

    Açıklama: Safari, ana çerçevedekinden farklı bir etki alanını gösteren bir alt çerçeveye kullanıcı adlarını ve parolalarını otomatik olarak girebiliyordu. Bu sorun, iyileştirilmiş kaynak takibiyle giderildi.

    CVE kimliği

    CVE-2013-5227: Klarna AB'den Niklas Malmgren

  • Ayarlar - Hesaplar

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Aygıta fiziksel erişimi olan bir kişi iCloud parolası girmeden iPhone'umu Bul seçeneğini etkisizleştirebilir

    Açıklama: iPhone'umu Bul durumunun işlenmesinde bir durum yönetimi sorunu vardı. Bu sorun iPhone'umu Bul durumunun işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-2019

  • Springboard

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Aygıta fiziksel erişimi olan bir kişi, aygıt etkinleştirilmese bile aygıtın ana ekranını görebilir

    Açıklama: Etkinleştirme sırasında bir uygulamanın beklenmedik şekilde sonlandırılması telefonun ana ekranı göstermesine neden olabiliyordu. Bu sorun etkinleştirme sırasında hata işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1285: Roboboi99

  • SpringBoard Kilitli Ekran

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Uzak saldırgan kilitli ekranın yanıt vermemesine neden olabilir

    Açıklama: Kilitli ekranda durum yönetimi sorunu vardı. Bu sorun, durum yönetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1286: M-sec.net'ten Bogdan Alecu

  • TelephonyUI Çerçevesi

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Bir web sayfası kullanıcı etkileşimi olmadan FaceTime sesli araması tetikleyebilir

    Açıklama: Safari facetime-audio:// URL'lerini başlatmadan önce kullanıcıya danışmıyordu. Bu sorun, onay istemi eklenerek giderildi.

    CVE kimliği

    CVE-2013-6835: Guillaume Ross

  • USB Ana Makinesi

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Aygıta fiziksel erişimi olan bir kişi çekirdek modunda rastgele kod yürütülmesine neden olabilir

    Açıklama: USB iletilerinin işlenmesinde bellek bozulması sorunu vardı. Bu sorun USB iletilerine ek doğrulama yapılarak giderildi.

    CVE kimliği

    CVE-2014-1287: NCC Group'tan Andy Davis

  • Video Sürücüsü

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir video oynatmak aygıtın yanıt vermemesine neden olabilir

    Açıklama: MPEG-4 kodlu dosyaların işlenmesinde null dereferans sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1280: rg0rd

  • WebKit

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-2909: OUSPG'den Atte Kettunen

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Google Chrome Güvenlik Ekibi

    CVE-2013-5196: Google Chrome Güvenlik Ekibi

    CVE-2013-5197: Google Chrome Güvenlik Ekibi

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Google Chrome Güvenlik Ekibi

    CVE-2013-5228: HP Zero Day Initiative ile çalışan Keen Ekibi (@K33nTeam)

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: HP Zero Day Initiative ile çalışan ant4g0nist (SegFault); Google Chrome Güvenlik Ekibi; Institute for Infocomm Research, Infocomm Security Department'tan S.P.T. Krishnan ile birlikte çalışan Lee Wang Hao

    CVE-2014-1291: Google Chrome Güvenlik Ekibi

    CVE-2014-1292: Google Chrome Güvenlik Ekibi

    CVE-2014-1293: Google Chrome Güvenlik Ekibi

    CVE-2014-1294: Google Chrome Güvenlik Ekibi

 

FaceTime her ülkede veya bölgede kullanılamaz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: