iOS 7.1.2 güvenlik içeriği hakkında

Bu belgede iOS 7.1.2'in güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

iOS 7.1.2

  • Sertifika Güven Politikası

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Sertifika güven politikası güncellendi

    Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi http://support.apple.com/kb/HT5012?viewlocale=tr_TR makalesinde verilmiştir.

  • CoreGraphics

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir XBM dosyasını görüntülemek uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: XBM dosyalarının işlenmesinde sınırı olmayan bir yığın ayırma sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1354: codedigging.com'dan Dima Kovalenko

  • Çekirdek

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Bir uygulama aygıtın beklenmedik bir biçimde yeniden başlamasına neden olabiliyordu

    Açıklama: IOKit API bağımsız değişkenlerinde bir null işaretçi başvurusu vardı. Bu sorun IOKit API bağımsız değişkenleri için ek doğrulama yapılmasıyla giderildi.

    CVE kimliği

    CVE-2014-1355: Venustech Adlab'den cunzhang

  • launchd

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Launchd'nin IPC mesajlarını işlemesinde bir yığın arabellek taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1356: Google Project Zero'dan Ian Beer

  • launchd

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Launchd'nin günlük mesajlarını işlemesinde bir yığın arabellek taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1357: Google Project Zero'dan Ian Beer

  • launchd

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Launchd'de bir tamsayı taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1358: Google Project Zero'dan Ian Beer

  • launchd

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Launchd'de bir tamsayı alt taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1359: Google Project Zero'dan Ian Beer

  • Lockdown

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Bir iOS aygıtını eline geçiren bir saldırganın Etkinleştirme Kilidi'ni atlama olasılığı vardı

    Açıklama: Aygıtlar, aygıt etkinleştirme işlemi sırasında eksik denetimler gerçekleştiriyordu ve bu da kötü amaçlı kişilerin zaman zaman Etkinleştirme Kilidi'ni atlamasına olanak sağlayabiliyordu. Bu sorun etkinleştirme sunucularından alınan verilerde ek istemci tarafı veri doğrulaması yapılarak giderildi.

    CVE kimliği

    CVE-2014-1360

  • Ekran Kilidi

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Bir aygıtı eline geçiren bir saldırgan maksimum başarısız parola denemesi sayısını aşabilir

    Açıklama: Bazı durumlarda başarısız parola girişimi sınırı uygulanmıyordu. Sorun, bu sınırın uygulanmasıyla ilgili ek zorlamalar getirilerek giderildi.

    CVE kimliği

    CVE-2014-1352: mblsec

  • Ekran Kilidi

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kilitli bir aygıta fiziksel erişimi olan bir kişi, kilitlenmeden önce ön planda çalışan bir uygulamaya erişebilir

    Açıklama: Uçak Modu'ndayken telefon durumunun işlenmesinde bir durum yönetimi sorunu vardı. Bu sorun Uçak Modu'ndayken durum yönetiminin iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-1353

  • Mail

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: iPhone 4'ten posta ekleri alınabilir

    Açıklama: Posta eklerinde veri koruması etkin değildi, bu da eklerin aygıta fiziksel erişimi olan biri tarafından okunabilmesine olanak sağlıyordu. Bu sorun posta eklerinin şifreleme sınıfı değiştirilerek giderildi.

    CVE kimliği

    CVE-2014-1348: NESO Security Labs'ten Andreas Kurtz

  • Safari

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Safari'nin geçersiz URL'leri işlemesinde bir 'serbest bıraktıktan sonra kullanma' sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1349: Reno Robert ve Dhanesh Kizhakkinan

  • Ayarlar

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Aygıta fiziksel erişimi olan bir kişi iCloud parolası girmeden iPhone'umu Bul seçeneğini etkisizleştirebilir

    Açıklama: iPhone'umu Bul durumunun işlenmesinde bir durum yönetimi sorunu vardı. Bu sorun iPhone'umu Bul durumunun işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1350

  • Güvenli Aktarım

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Sıfırlanmamış belleğin iki baytlık kısmı bir uzak saldırgana açılabiliyordu

    Açıklama: Bir TLS bağlantısında DTLS mesajlarının işlenmesinde sıfırlanmamış bellek erişimi sorunu vardı. Bu sorun DTLS bağlantılarında yalnızca DTLS mesajları kabul edilerek giderildi.

    CVE kimliği

    CVE-2014-1361: Adium Projesi'nden Thijs Alkemade

  • Siri

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad (3. nesil) ve sonrası

    Etki: Telefona fiziksel olarak erişimi olan biri tüm kişileri görüntüleyebilir

    Açıklama: Bir Siri isteğinde bir veya birkaç kişinin adı geçtiyse, Siri olası seçenekleri listeler ve kişi listesinin tamamı için 'Fazlası...' seçeneğini görüntüler. Kilitli ekranda kullanıldığında, Siri kişi listesinin tamamını görüntülemeden önce parola girilmesini gerektirmiyordu. Bu sorun parola girilmesi zorunlu kılınarak giderildi.

    CVE kimliği

    CVE-2014-1351: Sherif Hashim

  • WebKit

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-2875: miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325: Apple

    CVE-2014-1326: Apple

    CVE-2014-1327: Google Chrome Güvenlik Ekibi, Apple

    CVE-2014-1329: Google Chrome Güvenlik Ekibi

    CVE-2014-1330: Google Chrome Güvenlik Ekibi

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: Google Chrome Güvenlik Ekibi

    CVE-2014-1334: Apple

    CVE-2014-1335: Google Chrome Güvenlik Ekibi

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: Google Chrome Güvenlik Ekibi

    CVE-2014-1339: OUSPG'den Atte Kettunen

    CVE-2014-1341: Google Chrome Güvenlik Ekibi

    CVE-2014-1342: Apple

    CVE-2014-1343: Google Chrome Güvenlik Ekibi

    CVE-2014-1362: Apple, miaubiz

    CVE-2014-1363: Apple

    CVE-2014-1364: Apple

    CVE-2014-1365: Apple, Google Chrome Güvenlik Ekibi

    CVE-2014-1366: Apple

    CVE-2014-1367: Apple

    CVE-2014-1368: Keen Ekibinden (Keen Cloud Tech Araştırma Ekibi) Wushi

    CVE-2014-1382: Szeged Üniversitesi'nden Renata Hodovan/Samsung Electronics

    CVE-2014-1731: Blink geliştirme topluluğunun anonim bir üyesi

  • WebKit

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir site bağlı çerçeveye veya pencereye alıcı kaynağı denetiminin atlanmasına neden olabilecek mesajlar gönderebilir

    Açıklama: URL'lerde unicode karakterlerin işlenmesinde bir kodlama sorunu vardı. Kötü amaçlarla oluşturulmuş bir URL hatalı postMessage kaynak bilgisi gönderilmesine neden olabiliyordu. Bu sorun kodlama/kod çözme işlemleri iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1346: Facebook'tan Erling Ellingsen

  • WebKit

    İlgili ürünler: iPhone 4 ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesi için adres çubuğunda sahte bir adres görünebilir

    Açıklama: URL'lerin işlenmesinde adres sahteciliği sorunu vardı. Bu sorun URL'lerin kodlamasının iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-1345: Facebook'tan Erling Ellingsen

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: