Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.
Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.
Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.
iOS 8.1.3
AppleFileConduit
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı olarak oluşturulmuş bir afc komutu, dosya sisteminin korumalı bölümlerine erişime izin verebilir
Açıklama: afc'nin sembolik bağlantı oluşturma mekanizmasında bir güvenlik açığı vardı. Bu sorun ek yol denetimleri ilave edilerek giderildi.
CVE kimliği
CVE-2014-4480: TaiG Jailbreak Ekibi
CoreGraphics
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: PDF dosyalarının işlenmesinde bir tamsayı taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4481: iSIGHT Partners GVP Program aracılığıyla Binamuse VRT'den Felipe Andres Manzano
dyld
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Yerel bir kullanıcı imzalanmamış kod çalıştırabilir
Açıklama: Çakışan bölümleri olan Mach-O çalıştırılabilir dosyalarının işlenmesinde bir durum yönetimi sorunu vardı. Bu sorun, bölüm boyutu doğrulamasının iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2014-4455: TaiG Jailbreak Ekibi
FontParser
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4483: Apple
FontParser
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı olarak oluşturulmuş bir .dfont dosyasını işlemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütmeye neden olabilir
Açıklama: .dfont dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4484: HP Zero Day Initiative ile çalışan Gaurav Baruah
Altyapı
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı olarak oluşturulmuş bir XML dosyasını görüntülemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütmeye neden olabilir
Açıklama: XML ayrıştırıcısında bir arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4485: Apple
IOAcceleratorFamily
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOAcceleratorFamily'nin kaynak listelerini işlemesinde bir null işaretçi başvurusu vardı. Bu sorun, gereksiz kod kaldırılarak giderildi.
CVE kimliği
CVE-2014-4486: Google Project Zero'dan Ian Beer
IOHIDFamily
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'de bir arabellek taşması sorunu vardı. Bu sorun, boyut doğrulama iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4487: TaiG Jailbreak Ekibi
IOHIDFamily
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'nin kaynak kuyruğu meta verilerini işlemesinde bir doğrulama sorunu vardı. Bu sorun, meta veri doğrulamasının iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2014-4488: Apple
IOHIDFamily
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'nin etkinlik kuyruklarını işlemesinde bir null işaretçi başvurusu vardı. Bu sorun, doğrulama iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4489: @beist
iTunes Store
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Bir web sitesi iTunes Store'u kullanarak korumalı alan kısıtlamalarını atlayabilir
Açıklama: Safari'den iTunes Store'a yeniden yönlendirilen URL'lerin işlenmesinde, kötü amaçlı olarak oluşturulmuş bir web sitesinin Safari'nin korumalı alan kısıtlamalarını atlamasına neden olabilecek bir sorun vardı. Bu sorun, iTunes Store tarafından açılan URL'lerin filtrelemesi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-8840: HP Zero Day Initiative ile çalışan lokihardt@ASRT
Kerberos
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Kerberos libgssapi arşivi, asılı kalan işaretçiye sahip bir bağlam belirteci döndürüyordu. Bu sorun durum yönetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-5352
Çekirdek
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçla oluşturulmuş veya gizliliği ihlal edilmiş iOS uygulamaları çekirdek adreslerini belirleyebilir
Açıklama: Çekirdek uzantılarıyla ilişkili API'lerin işlenmesi sırasında bilgi ifşa etme sorunu vardı. OSBundleMachOHeaders anahtarı içeren yanıtlar, adres alanı rastgele düzen belirleme korumasının devre dışı bırakılmasına yardımcı olabilecek çekirdek adresleri içerebilir. Bu sorun adresler döndürülmeden önce işlevin sonucu hale getirilerek çözüldü.
CVE kimliği
CVE-2014-4491: @PanguTeam, Stefan Esser
Çekirdek
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdek paylaşılan bellek alt sisteminde, bir kullanıcının salt okunur olması amaçlanan belleğe yazmasına izin veren bir sorun vardı. Bu sorun, paylaşımlı bellek izinlerinin daha sıkı denetlenmesi ile giderildi.
CVE kimliği
CVE-2014-4495: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçla oluşturulmuş veya gizliliği ihlal edilmiş iOS uygulamaları çekirdek adreslerini belirleyebilir
Açıklama: mach_port_kobject çekirdek arabirimi, adres alanı düzeni rastgeleleştirme korumasını atlamaya yardımcı olabilecek şekilde çekirdek adreslerini ve yığın permütasyon değerini sızdırıyordu. Bu sorun, üretim konfigürasyonlarındaki mach_port_kobject çekirdek arabirimi etkisizleştirilerek giderildi.
CVE kimliği
CVE-2014-4496: TaiG Jailbreak Ekibi
libnetcore
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Korumalı alanda çalışan kötü amaçlı bir uygulama, networkd arka plan uygulamasına erişim sağlayabilir
Açıklama: Networkd'nin işlemler arası iletişim kurma özelliğinde birden fazla tür karışıklığı sorunu vardı. Networkd'ye kötü amaçlı olarak biçimlendirilmiş bir ileti gönderilmesiyle networkd işlemi olarak rastgele kod yürütmek mümkün olabiliyordu. Bu sorun, ek tür denetimi ile giderildi.
CVE kimliği
CVE-2014-4492: Google Project Zero'dan Ian Beer
MobileInstallation
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kurumsal imzaya sahip kötü amaçlı bir uygulama, aygıt üzerindeki uygulamaların yerel kapsayıcının kontrolünü ele geçirebilir
Açıklama: Uygulama yükleme işleminde bir güvenlik açığı vardı. Bu sorun, belirli senaryolarda kurumsal uygulamaların mevcut uygulamaları geçersiz kılması engellenerek giderilmiştir.
CVE kimliği
CVE-2014-4493: FireEye, Inc.'den Hui Xue ve Tao Wei
Springboard
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kurumsal imzalı uygulamalar güvenlik isteminde bulunmadan başlatılabilir
Açıklama: Kurumsal imzalı bir uygulamayı ilk defa açarken ne zaman güvenlik isteğinde bulunulacağını belirleme konusunda bir sorun vardı. Bu sorun, imza doğrulama kodunun geliştirilmesiyle giderildi.
CVE kimliği
CVE-2014-4494: FireEye, Inc.'den Song Jin, Hui Xue ve Tao Wei
WebKit
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: İçinde kötü amaçlı içerik barındıran bir web sitesini ziyaret etmek, kullanıcı arabirimi sahteciliğine neden olabilir
Açıklama: Kaydırma çubukları sınırlarının işlenmesinde bir kullanıcı arabirimi sahteciliği sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4467: Jordan Milne
WebKit
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Stil sayfaları, veri sızmasına neden olabilecek şekilde birden çok kaynaktan yüklenebiliyordu
Açıklama: img öğesine yüklenen bir SVG, birden çok kaynağa sahip bir CSS dosyasını yükleyebilir. Bu sorun, SVG'lerdeki harici CSS referanslarının engellenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4465: iSEC Partners'dan Rennie deGraaf
WebKit
İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-3192: cloudfuzzer
CVE-2014-4459
CVE-2014-4466: Apple
CVE-2014-4468: Apple
CVE-2014-4469: Apple
CVE-2014-4470: Apple
CVE-2014-4471: Apple
CVE-2014-4472: Apple
CVE-2014-4473: Apple
CVE-2014-4474: Apple
CVE-2014-4475: Apple
CVE-2014-4476: Apple
CVE-2014-4477: HP Zero Day Initiative ile çalışan lokihardt@ASRT
CVE-2014-4479: Apple