iOS 8.1.3'ün güvenlik içeriği hakkında

Bu belgede iOS 8.1.3'ün güvenlik içeriği açıklanmaktadır

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

iOS 8.1.3

  • AppleFileConduit

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı olarak oluşturulmuş bir afc komutu, dosya sisteminin korumalı bölümlerine erişime izin verebilir

    Açıklama: afc'nin sembolik bağlantı oluşturma mekanizmasında bir güvenlik açığı vardı. Bu sorun ek yol denetimleri ilave edilerek giderildi.

    CVE kimliği

    CVE-2014-4480: TaiG Jailbreak Ekibi

  • CoreGraphics

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: PDF dosyalarının işlenmesinde bir tamsayı taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4481: iSIGHT Partners GVP Program aracılığıyla Binamuse VRT'den Felipe Andres Manzano

  • dyld

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Yerel bir kullanıcı imzalanmamış kod çalıştırabilir

    Açıklama: Çakışan bölümleri olan Mach-O çalıştırılabilir dosyalarının işlenmesinde bir durum yönetimi sorunu vardı. Bu sorun, bölüm boyutu doğrulamasının iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4455: TaiG Jailbreak Ekibi

  • FontParser

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4483: Apple

  • FontParser

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı olarak oluşturulmuş bir .dfont dosyasını işlemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütmeye neden olabilir

    Açıklama: .dfont dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4484: HP Zero Day Initiative ile çalışan Gaurav Baruah

  • Altyapı

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı olarak oluşturulmuş bir XML dosyasını görüntülemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütmeye neden olabilir

    Açıklama: XML ayrıştırıcısında bir arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4485: Apple

  • IOAcceleratorFamily

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOAcceleratorFamily'nin kaynak listelerini işlemesinde bir null işaretçi başvurusu vardı. Bu sorun, gereksiz kod kaldırılarak giderildi.

    CVE kimliği

    CVE-2014-4486: Google Project Zero'dan Ian Beer

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'de bir arabellek taşması sorunu vardı. Bu sorun, boyut doğrulama iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4487: TaiG Jailbreak Ekibi

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin kaynak kuyruğu meta verilerini işlemesinde bir doğrulama sorunu vardı. Bu sorun, meta veri doğrulamasının iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4488: Apple

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin etkinlik kuyruklarını işlemesinde bir null işaretçi başvurusu vardı. Bu sorun, doğrulama iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4489: @beist

  • iTunes Store

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Bir web sitesi iTunes Store'u kullanarak korumalı alan kısıtlamalarını atlayabilir

    Açıklama: Safari'den iTunes Store'a yeniden yönlendirilen URL'lerin işlenmesinde, kötü amaçlı olarak oluşturulmuş bir web sitesinin Safari'nin korumalı alan kısıtlamalarını atlamasına neden olabilecek bir sorun vardı. Bu sorun, iTunes Store tarafından açılan URL'lerin filtrelemesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-8840: HP Zero Day Initiative ile çalışan lokihardt@ASRT

  • Kerberos

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Kerberos libgssapi arşivi, asılı kalan işaretçiye sahip bir bağlam belirteci döndürüyordu. Bu sorun durum yönetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-5352

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçla oluşturulmuş veya gizliliği ihlal edilmiş iOS uygulamaları çekirdek adreslerini belirleyebilir

    Açıklama: Çekirdek uzantılarıyla ilişkili API'lerin işlenmesi sırasında bilgi ifşa etme sorunu vardı. OSBundleMachOHeaders anahtarı içeren yanıtlar, adres alanı rastgele düzen belirleme korumasının devre dışı bırakılmasına yardımcı olabilecek çekirdek adresleri içerebilir. Bu sorun adresler döndürülmeden önce işlevin sonucu hale getirilerek çözüldü.

    CVE kimliği

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdek paylaşılan bellek alt sisteminde, bir kullanıcının salt okunur olması amaçlanan belleğe yazmasına izin veren bir sorun vardı. Bu sorun, paylaşımlı bellek izinlerinin daha sıkı denetlenmesi ile giderildi.

    CVE kimliği

    CVE-2014-4495: Google Project Zero'dan Ian Beer

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçla oluşturulmuş veya gizliliği ihlal edilmiş iOS uygulamaları çekirdek adreslerini belirleyebilir

    Açıklama: mach_port_kobject çekirdek arabirimi, adres alanı düzeni rastgeleleştirme korumasını atlamaya yardımcı olabilecek şekilde çekirdek adreslerini ve yığın permütasyon değerini sızdırıyordu. Bu sorun, üretim konfigürasyonlarındaki mach_port_kobject çekirdek arabirimi etkisizleştirilerek giderildi.

    CVE kimliği

    CVE-2014-4496: TaiG Jailbreak Ekibi

  • libnetcore

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Korumalı alanda çalışan kötü amaçlı bir uygulama, networkd arka plan uygulamasına erişim sağlayabilir

    Açıklama: Networkd'nin işlemler arası iletişim kurma özelliğinde birden fazla tür karışıklığı sorunu vardı. Networkd'ye kötü amaçlı olarak biçimlendirilmiş bir ileti gönderilmesiyle networkd işlemi olarak rastgele kod yürütmek mümkün olabiliyordu. Bu sorun, ek tür denetimi ile giderildi.

    CVE kimliği

    CVE-2014-4492: Google Project Zero'dan Ian Beer

  • MobileInstallation

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kurumsal imzaya sahip kötü amaçlı bir uygulama, aygıt üzerindeki uygulamaların yerel kapsayıcının kontrolünü ele geçirebilir

    Açıklama: Uygulama yükleme işleminde bir güvenlik açığı vardı. Bu sorun, belirli senaryolarda kurumsal uygulamaların mevcut uygulamaları geçersiz kılması engellenerek giderilmiştir.

    CVE kimliği

    CVE-2014-4493: FireEye, Inc.'den Hui Xue ve Tao Wei

  • Springboard

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kurumsal imzalı uygulamalar güvenlik isteminde bulunmadan başlatılabilir

    Açıklama: Kurumsal imzalı bir uygulamayı ilk defa açarken ne zaman güvenlik isteğinde bulunulacağını belirleme konusunda bir sorun vardı. Bu sorun, imza doğrulama kodunun geliştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4494: FireEye, Inc.'den Song Jin, Hui Xue ve Tao Wei

  • WebKit

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: İçinde kötü amaçlı içerik barındıran bir web sitesini ziyaret etmek, kullanıcı arabirimi sahteciliğine neden olabilir

    Açıklama: Kaydırma çubukları sınırlarının işlenmesinde bir kullanıcı arabirimi sahteciliği sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4467: Jordan Milne

  • WebKit

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Stil sayfaları, veri sızmasına neden olabilecek şekilde birden çok kaynaktan yüklenebiliyordu

    Açıklama: img öğesine yüklenen bir SVG, birden çok kaynağa sahip bir CSS dosyasını yükleyebilir. Bu sorun, SVG'lerdeki harici CSS referanslarının engellenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4465: iSEC Partners'dan Rennie deGraaf

  • WebKit

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: HP Zero Day Initiative ile çalışan lokihardt@ASRT

    CVE-2014-4479: Apple

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: