iOS 8.4'ün güvenlik içeriği hakkında

Bu belgede iOS 8.4'ün güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer güvenlik güncellemeleri hakkında daha fazla bilgi için Apple güvenlik güncellemeleri başlıklı makaleye bakın.

iOS 8.4

  • Uygulama Mağazası

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir evrensel hazırlık profili uygulaması, uygulamaların başlamasını engelleyebilir

    Açıklama: Mevcut kimlik paketinde çakışmaya neden olan evrensel hazırlık profili uygulamalarının yükleme mantığında sorun vardı. Bu sorun, çakışma denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3722: FireEye, Inc.'den Zhaofeng Chen, Hui Xue ve Tao (Lenx) Wei
  • Sertifika Güven Politikası

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, ağ trafiğini ele geçirebilir

    Açıklama: Sertifika otoritesi CNNIC tarafından yanlışlıkla bir ara sertifika düzenlendi. Bu sorun, yalnızca ara sertifikanın yanlışlıkla düzenlenmesinden önce düzenlenen sertifikaların bir alt kümesine güvenmek üzere bir mekanizma eklenmesiyle giderildi. Güvenlik için kısmi güvenme izin listesi hakkında daha fazla ayrıntıya ulaşabilirsiniz.

  • Sertifika Güven Politikası

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Sertifika güven politikası güncellendi

    Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi iOS Güvenilir Depo bölümünde yer almaktadır.

  • CFNetwork HTTPAuthentication

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrasıEtki:Kötü amaçlarla oluşturulmuş bir URL rastgele kod yürütülmesine neden olabilir

    Açıklama: Belirli URL kimliklerinin işlenmesinde bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3684: Apple

  • CoreGraphics

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: ICC profillerinin işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3723: HP's Zero Day Initiative ile birlikte çalışan chaithanya (SegFault)

    CVE-2015-3724: HP's Zero Day Initiative'den WanderingGlitch

  • CoreText

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasını işlemek, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Metin dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, SSL/TLS bağlantılarına erişim sağlayabilir

    Açıklama: coreTLS, tam güçlü ve kısa ömürlü DH şifre paketlerinde kullanılan kısa ömürlü Diffie-Hellman (DH) anahtarlarını kabul ediyordu. Logjam olarak da bilinen bu sorun, sunucunun tam güçlü ve kısa ömürlü DH şifre paketlerini desteklemesi durumunda, ayrıcalıklı ağ konumuna sahip bir saldırganın güvenlik düzeyini 512-bit DH'ye düşürmesine izin veriyordu. Bu sorun, DH kısa ömürlü anahtarları için izin verilen saptanmış minimum boyut 768 bit'e artırılarak çözüldü.

    CVE kimliği

    CVE-2015-4000: weakdh.org'dan weakdh ekibi, Hanno Boeck

  • DiskImages

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama çekirdek belleği düzenini belirleyebilir

    Açıklama: Disk görüntülerinin işlenmesi sırasında bilgilerin açığa çıkması sorunu vardı. Bu sorun iyileştirilmiş bellek yönetimiyle giderildi.

    CVE kimliği

    CVE-2015-3690: HP's Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • FontParser

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar girdi doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • ImageIO

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir tiff dosyasını işlemek, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: .tiff dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3703: Apple

  • ImageIO

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Açıklama: -libtiff'de birden çok güvenlik açığı vardı ve bunların en ciddi olanı rastgele kod yürütülmesine neden olabiliyordu

    Açıklama: Libtiff 4.0.4 sürümünden önceki sürümlerde birden çok güvenlik açığı vardı. Bu sorun libtiff sürümü 4.0.4'e güncellenerek giderildi.

    CVE kimliği

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama çekirdek belleği düzenini belirleyebilir

    Açıklama: HFS parametrelerinin işlenmesinde çekirdek belleği düzeninin açığa çıkmasına neden olan bir bellek yönetimi sorunu vardı. Bu sorun iyileştirilmiş bellek yönetimiyle giderildi.

    CVE kimliği

    CVE-2015-3721: Google Project Zero'dan Ian Beer
  • Mail

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir e-posta mesajı görüntülendiğinde mesaj içeriğini rastgele bir web sayfasıyla değiştirebilir

    Açıklama: HTML e-posta desteğinde mesaj içeriğinin rastgele bir web sayfasıyla yenilenmesine olanak sağlayan bir sorun vardı. Bu sorun HTML içeriğine verilen destek sınırlandırılarak giderildi.

    CVE kimliği

    CVE-2015-3710: vtty.com'dan Aaron Sigel, Jan Souček
  • MobileInstallation

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir evrensel hazırlık profili uygulaması, Watch uygulamasının başlamasına engel olabilir

    Açıklama: Mevcut kimlik paketinde çakışmaya neden olan Watch'taki evrensel hazırlık profili uygulamalarının yükleme mantığında sorun vardı. Bu sorun, çakışma denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3725: FireEye, Inc.'den Zhaofeng Chen, Hui Xue ve Tao (Lenx) Wei

  • Safari

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, dosya sistemindeki kullanıcı bilgilerini tehlikeye atabilir

    Açıklama: Safari'de, yetkisiz kaynaklardan dosya sistemindeki içeriğe erişilmesine neden olan bir durum yönetimi sorunu vardı. Bu sorun durum yönetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-1155: Rapid7 Inc.'den Joe Vennix, HP'nin Zero Day Initiative ile birlikte çalışarak
     

  • Safari

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret etmek hesabın devrine neden olabilir

    Açıklama: Safari'nin çapraz kaynaklı yeniden yönlendirmelerin Kaynak istek başlığını korumasında sorun vardı. Bu sorun kötü amaçlı web sitelerinin CSRF korumalarını aşmasına neden oluyordu. Bu sorun yeniden yönlendirmelerin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3658: Facebook'tan Brad Hill
  • Güvenlik

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: S/MIME e-postaların ve diğer imzalanmış veya şifrelenmiş bazı nesnelerin ayrıştırılmasında kullanılan Güvenlik çerçevesi kodunda tam sayı taşması sorunu vardı. Bu sorun geçerlilik denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-1741

  • SQLite

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: SQLite'nin printf uygulamasında birden çok arabellek taşması vardı. Bu sorunlar sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3717: HP's Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • SQLite

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir SQL komutu uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: SQLite işlevinde API sorunu vardı. Bu sorun sınırlandırmalar iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7036: HP's Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • Telefon

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulan SIM kartlar rastgele kod yürütülmesine neden olabilir

    Açıklama: SIM/UIM veri yüklerinin ayrıştırılmasında birden çok girdi doğrulaması sorunu vardı. Bu sorunlar veri doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3726: Endgame'den Matt Spisak

  • WebKit

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Bir bağlantıyı tıklayarak kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, kullanıcı arabirimi sahteciliğine yol açabilir

    Açıklama: anchor öğelerindeki rel özniteliğinin işlenmesinde sorun vardı. Hedef nesneler, bağlantı nesnelerine yetkisiz olarak erişebiliyordu. Bu sorun bağlantı türü uyumu iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-1156: Moodle'dan Zachary Durber
  • WebKit

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir sayfasını ziyaret etmek, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Rastgele SQL işlevlerinin yürütülmesine neden olan SQLite yetkilendiricisinde yetersiz karşılaştırma sorunu vardı. Bu sorun, yetkilendirme kontrolleri iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3659: HP's Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • WebKit

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesi, diğer web sitelerinin WebSQL veritabanlarına erişebilir

    Açıklama: WebSQL tablolarının yeniden adlandırılmasında yetkilendirme kontrolü sorunu vardı. Bu sorun kötü amaçlarla oluşturulmuş bir web sitesinin diğer web sitelerinin veritabanlarına erişmesine neden olabiliyordu. Bu sorun yetkilendirme denetimleri iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3727: HP's Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • WiFi Bağlantısı

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: iOS aygıtları, bilinen ancak düşürülmüş güvenlik türüne sahip bir ESSID'yi yayımlayan güvenilmeyen erişim noktalarıyla otomatik olarak ilişki kurabilir

    Açıklama: WiFi yöneticisinin bilinen erişim noktası yayınlarını değerlendirmesinde yetersiz karşılaştırma sorunu vardı. Bu sorun, güvenlik parametrelerinin eşleştirilmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3728: Carnegie Mellon Üniversitesi'nden Brian W. Gray, TripWire'dan Craig Young

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: