iOS 8.1 güvenlik içeriği hakkında
Bu belgede iOS 8.1 güvenlik içeriği açıklanmaktadır
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.
Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.
Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.
iOS 8.1
Bluetooth
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir Bluetooth giriş aygıtı eşlemeyi atlayabiliyor
Açıklama: Kullanıcı Arayüzü Aygıtı sınıfındaki Bluetooth Düşük Enerji aksesuarlarından şifrelenmemiş bağlantılar yapılmasına izin veriliyordu. iOS aygıtı böyle bir aksesuarla eşlendiyse bir saldırgan bağlantı kurmak için yasal aksesuarı kandırabiliyordu. Bu sorun şifrelenmemiş HID bağlantıları reddedilerek giderildi.
CVE kimliği
CVE-2014-4428: Mike Ryan, iSEC Partners
Gözaltı
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Aygıta aktarılan dosyalar yetersiz şifreleme korumasıyla yazılabiliyor
Açıklama: Dosyalar uygulamanın Belgeler dizinine aktarılabiliyor ve yalnızca donanım UID'si ile korunan bir anahtarla şifrelenebiliyordu. Bu sorun, dosyalar donanım UID'si tarafından korunan bir anahtar ve kullanıcının parolası ile şifrelenerek giderildi.
CVE kimliği
CVE-2014-4448: Jonathan Zdziarski ve Kevin DeLong
iCloud Veri Erişimi
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Ağda ayrıcalıklı bir konuma sahip olan saldırgan iCloud veri erişimi istemcilerini hassas bilgileri sızdırmaya zorlayabiliyor
Açıklama: iCloud veri erişimi istemcilerinde TLS sertifikası doğrulamayla ilgili bir güvenlik açığı vardı. Bu sorun sertifika doğrulamasının iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2014-4449: Carl Mehner, USAA
Klavyeler
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: QuickType kullanıcıların kimlik bilgilerini öğrenebiliyordu
Açıklama: QuickType öğeler arasında geçiş yapıldığında kullanıcıların kimlik bilgilerini öğrenebiliyordu. Bu sorun, otomatik tamamlama etkisizleştirildiğinde QuickType'ın alanlardan bilgi alması engellenerek ve eski WebKit'teki DOM giriş öğeleri arasında geçiş yapıldığında ölçüt tekrar uygulanarak giderildi.
CVE kimliği
CVE-2014-4450
Güvenli Aktarım
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Bir saldırgan SSL ile korunan verilerin şifresini çözebilir
Açıklama: Bir şifre paketi CBC modunda blok şifre kullandığında SSL 3.0'ın gizliliğini hedef alan bazı saldırılar olduğu biliniyordu. Bir saldırgan, sunucu daha iyi bir TLS sürümünü desteklese bile TLS 1.0 ve üzeri bağlantı denemelerini engelleyerek bilgisayarı SSL 3.0 kullanmaya zorlayabiliyordu. Bu sorun TLS bağlantı denemesi hata verdiğinde CBC şifre paketleri etkisizleştirilerek giderildi.
CVE kimliği
CVE-2014-3566: Google Güvenlik Ekibi'nden Bodo Moeller, Thai Duong ve Krzysztof Kotowicz
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.