iOS 8.1.3'ün güvenlik içeriği hakkında

Bu belgede iOS 8.1.3'ün güvenlik içeriği açıklanmaktadır

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

iOS 8.1.3

  • AppleFileConduit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla hazırlanmış bir afc komutu, dosya sisteminin korunan bölümlerine erişim izni verebilir

    Açıklama: afc'nin sembolik bağlantı mekanizmasında bir güvenlik açığı vardı. Ek yol denetimleri eklenerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4480: TaiG Jailbreak Team

  • CoreGraphics

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

    Açıklama: PDF dosyalarının işlenmesinde bir tamsayı taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4481: Binamuse VRT'den Felipe Andres Manzano, iSIGHT Partners GVP Programı aracılığıyla

  • dyld

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir kullanıcı imzasız kod çalıştırabilir

    Açıklama: Çakışan bölümlere sahip Mach-O yürütülebilir dosyalarının işlenmesinde bir durum yönetimi sorunu vardı. Segment boyutlarının doğrulanmasında iyileştirmeler yapılarak bu sorun giderildi.

    CVE-ID

    CVE-2014-4455: TaiG Jailbreak Team

  • FontParser

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

    Açıklama: Yazı tipi dosyalarının işlenmesinde arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4483: Apple

  • FontParser

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasının işlenmesi, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

    Açıklama: .dfont dosyalarının işlenmesinde bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4484: HP Zero Day Initiative'iyle çalışan Gaurav Baruah

  • Foundation

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının görüntülenmesi, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

    Açıklama: XML ayrıştırıcısında arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4485: Apple

  • IOAcceleratorFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOAcceleratorFamily'nin kaynak listelerini işlemesinde bir null işaretçi dereferansı mevcuttu. Bu sorun gereksiz kodlar kaldırılarak giderildi.

    CVE-ID

    CVE-2014-4486: Google Project Zero'dan Ian Beer

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'de arabellek taşması sorunu vardı. Boyut doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin kaynak kuyruğu meta verilerini işlemesinde bir doğrulama sorunu vardı. Meta veri doğrulaması iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin olay kuyruklarını işlemesinde bir null işaretçi dereferansı mevcuttu. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4489: @beist

  • iTunes Store

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bir web sitesi, iTunes Store'u kullanarak korumalı alan kısıtlamalarını atlayabilir

    Açıklama: Safari'den iTunes Store'a yönlendirilen URL'lerin işlenmesinde, kötü amaçlı bir web sitesinin Safari'nin korumalı alan kısıtlamalarını atlamasına olanak verebilecek bir sorun vardı. iTunes Store tarafından açılan URL'lerin filtrelenmesi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-8840: HP Zero Day Initiative ile çalışan lokihardt@ASRT

  • Kerberos

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Kerberos libgssapi kitaplığı, sarkan bir işaretçiyle bağlam belirteci döndürüyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-5352

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla hazırlanmış veya güvenliği ihlal edilmiş iOS uygulamaları çekirdekteki adresleri belirleyebilir

    Açıklama: Çekirdek uzantılarıyla ilgili API'lerin işlenmesinde bilgilerin açığa çıkması sorunu vardı. OSBundleMachOHeaders anahtarı içeren yanıtlar, rastgele adres alanı düzeni korumasının atlanmasına yol açabilecek şekilde çekirdek adresleri içermiş olabilir. Bu sorun adresler döndürülmeden önce işlevin sonucu hale getirilerek çözüldü.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdek paylaşılan bellek alt sisteminde, bir saldırganın salt okunur olması istenen belleğe yazmasına olanak tanıyan bir sorun vardı. Paylaşılan bellek izinlerinin daha sıkı denetlenmesiyle bu sorun giderildi.

    CVE-ID

    CVE-2014-4495: Google Project Zero'dan Ian Beer

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla hazırlanmış veya güvenliği ihlal edilmiş iOS uygulamaları çekirdekteki adresleri belirleyebilir

    Açıklama: mach_port_kobject çekirdek arayüzü, çekirdek adreslerini ve yığın permütasyon değerini sızdırıyordu; bu da adres alanı düzenini rastgele hale gtirme korumasının atlanmasına yol açabiliyordu. Bu sorun, ürün konfigürasyonlarında mach_port_kobject arabirimi devre dışı bırakılarak giderildi.

    CVE-ID

    CVE-2014-4496: TaiG Jailbreak Team

  • libnetcore

    CVE-2014-4381: Google Project Zero'dan Ian Beer

    Impact: A malicious, sandboxed app can compromise the networkd daemon

    Description: Multiple type confusion issues existed in networkd's handling of interprocess communication. By sending a maliciously formatted message to networkd, it may have been possible to execute arbitrary code as the networkd process. The issue is addressed through additional type checking.

    CVE-ID

    CVE-2014-4492 : Ian Beer of Google Project Zero

  • MobileInstallation

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kurumsal olarak imzalanmış kötü amaçlı bir uygulama kontrolü, aygıtta bulunmakta olan uygulamaların yerel kapsayıcısını ele geçirebilir

    Açıklama: Uygulama yükleme sürecinde bir güvenlik açığı vardı. Kurumsal uygulamaların belirli senaryolarda mevcut uygulamaları geçersiz kılmasının engellenmesiyle bu sorun giderildi.

    CVE-ID

    CVE-2014-4493: FireEye, Inc.'ten Hui Xue ve Tao Wei

  • Springboard

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kurumsal imzalı uygulamalar, güven istenmeden başlatılabilir

    Açıklama: Kurumsal imzalı bir uygulamayı ilk kez açarken güvenin ne zaman sorulacağının belirlenmesinde bir sorun vardı. Kod imza doğrulaması iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4494: FireEye, Inc.'den Song Jin, Hui Xue ve Tao Wei

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı içeriği çerçeveleyen bir web sitesini ziyaret etmek kullanıcı arayüzü sahteciliğine neden olabilir

    Açıklama: Kaydırma çubuğu sınırlarının işlenmesinde kullanıcı arayüzü sahteciliği sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4467: Jordan Milne

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Stil sayfalarının çapraz kaynaklardan yüklenmesi verilerin sızdırılmasına izin verebilir

    Açıklama: img öğesine yüklenen bir SVG, çapraz kaynaklı bir CSS dosyası yükleyebilir. SVG'lerde harici CSS referanslarının engellenmesinin geliştirilmesiyle bu sorun giderildi.

    CVE-ID

    CVE-2014-4465: iSEC Partners'dan Rennie deGraaf

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla hazırlanmış bir web sitesini ziyaret etmek, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

    Açıklama: WebKit'te birden fazla bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: HP Zero Day Initiative'den lokihardt@ASRT

    CVE-2014-4479: Apple

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: