iOS 8.4'ün güvenlik içeriği hakkında

Bu belgede iOS 8.4'ün güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.

iOS 8.4

  • Uygulama Mağazası

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir evrensel hazırlık profili uygulaması, uygulamaların başlamasını engelleyebilir

    Açıklama: Mevcut kimlik paketinde çakışmaya neden olan evrensel hazırlık profili uygulamalarının yükleme mantığında sorun vardı. Bu sorun, çakışma denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3722: FireEye, Inc.'den Zhaofeng Chen, Hui Xue ve Tao (Lenx) Wei
  • Sertifika Güven Politikası

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan ağ trafiğini ele geçirebilir

    Açıklama: Sertifika otoritesi CNNIC tarafından yanlışlıkla bir ara sertifika veriliyordu. Bu sorun, yalnızca ara sertifikanın yanlışlıkla düzenlenmesinden önce düzenlenen sertifikaların bir alt kümesine güvenmek üzere bir mekanizma eklenmesiyle giderildi. Güvenlik için kısmi güvenme izin listesi hakkında daha fazla ayrıntıya ulaşabilirsiniz.

  • Sertifika Güven Politikası

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Sertifika güven politikasında güncelleme

    Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi iOS Güvenilir Depo bölümünde yer almaktadır.

  • CFNetwork HTTPAuthentication

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir URL'nin izlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: Belirli URL kimlik bilgilerinin işlenmesinde bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3684: Apple

  • CoreGraphics

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: ICC profillerinin işlenmesinde birden çok bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-3723: HP's Zero Day Initiative ile birlikte çalışan chaithanya (SegFault)

    CVE-2015-3724: HP's Zero Day Initiative'den WanderingGlitch

  • CoreText

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Metin dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, SSL/TLS bağlantılarına erişim sağlayabilir

    Açıklama: coreTLS, dışarı aktarım gücündeki kısa ömürlü DH şifre paketleri kullanan kısa ömürlü Diffie-Hellman (DH) anahtarlarını kabul ediyordu. Logjam olarak da bilinen bu sorun, ayrıcalıklı ağ konumuna sahip bir saldırganın sunucunun dışarı aktarım gücündeki kısa ömürlü DH şifre paketleri desteklemesi durumunda güvenliği 512 bit DH Düzeyine düşürmesine izin verdi. Sorun, kısa ömürlü DH anahtarları için izin verilen minimum varsayılan boyut 768 bit'e yükseltilerek giderildi.

    CVE kimliği

    CVE-2015-4000: weakdh.org'da weakdh ekibi, Hanno Boeck

  • DiskImages

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

    Açıklama: Disk görüntülerinin işlenmesinde bilgilerin açığa çıkması sorunu vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-3690: HP Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • FontParser

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • ImageIO

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir .tiff dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: .tiff dosyalarının işlenmesinde bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-3703: Apple

  • ImageIO

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Açıklama: libtiff'de birden çok güvenlik açığı vardı ve bunların en ciddi olanı rastgele kod yürütülmesine neden olabiliyordu

    Açıklama: libtiff'in 4.0.4'ten önceki sürümlerinde birden çok güvenlik açığı vardı. Bu güvenlik açıkları libtiff 4.0.4 sürümüne güncellenerek giderildi.

    CVE kimliği

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

    Açıklama: HFS parametrelerinin işlenmesinde çekirdek belleği düzeninin açığa çıkmasına neden olan bir bellek yönetimi sorun vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-3721: Google Project Zero'dan Ian Beer
  • Mail

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir e-posta mesajı görüntülendiğinde mesaj içeriğini rastgele bir web sayfasıyla değiştirebilir

    Açıklama: HTML e-posta desteğinde mesaj içeriğinin rastgele bir web sayfasıyla yenilenmesine olanak sağlayan bir sorun vardı. Bu sorun, HTML içeriğine verilen destek sınırlandırılarak giderildi.

    CVE kimliği

    CVE-2015-3710: vtty.com'dan Aaron Sigel, Jan Souček
  • MobileInstallation

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir evrensel hazırlık profili uygulaması, Watch uygulamasının başlamasına engel olabilir

    Açıklama: Mevcut kimlik paketinde çakışmaya neden olan Watch'taki evrensel hazırlık profili uygulamalarının yükleme mantığında sorun vardı. Bu sorun, çakışma denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3725: FireEye, Inc.'den Zhaofeng Chen, Hui Xue ve Tao (Lenx) Wei

  • Safari

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, dosya sistemindeki kullanıcı bilgilerini tehlikeye atabilir

    Açıklama: Safari'de, yetkisiz kaynaklardan dosya sistemindeki içeriğe erişilmesine neden olan bir durum yönetimi sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-1155: Rapid7 Inc.'den Joe Vennix, HP'nin Zero Day Initiative ile birlikte çalışarak
     

  • Safari

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek hesabın devrine neden olabilir

    Açıklama: Safari'nin çapraz kaynaklı yeniden yönlendirmelerin Kaynak istek başlığını korumasında sorun vardı. Bu sorun kötü amaçlı web sitelerinin CSRF korumalarını aşmasına neden oluyordu. Bu sorun, yönlendirmelerin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3658: Facebook'tan Brad Hill
  • Güvenlik

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: S/MIME e-postaların ve diğer imzalanmış veya şifrelenmiş bazı nesnelerin ayrıştırılmasında kullanılan Güvenlik çerçevesi kodunda tam sayı taşması sorunu vardı. Bu sorun, doğrulama kontrolü iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-1741

  • SQLite

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: SQLite'ın printf uygulamasında birden çok arabellek taşması vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-3717: HP Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • SQLite

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir SQL komutu uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: SQLite işlevinde API sorunu vardı. Bu sorun, sınırlandırmalar iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7036: HP Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • Telefon

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulan SIM kartlar rastgele kod yürütülmesine neden olabilir

    Açıklama: SIM/UIM veri yüklerinin ayrıştırılmasında birden çok girdi doğrulaması sorunu vardı. Bu sorunlar veri doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3726: Endgame'den Matt Spisak

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin bir bağlantıyı tıklayarak ziyaret edilmesi, kullanıcı arabirimi sahteciliğine neden olabilir

    Açıklama: anchor öğelerindeki rel özniteliğinin işlenmesinde sorun vardı. Hedef nesneler, bağlantı nesnelerine yetkisiz olarak erişebiliyordu. Bu sorun bağlantı türü uyumu iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-1156: Moodle'dan Zachary Durber
  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Rastgele SQL işlevlerinin yürütülmesine neden olan SQLite yetkilendiricisinde yetersiz karşılaştırma sorunu vardı. Yetkilendirme denetimleri iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-3659: HP's Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesi, diğer web sitelerinin WebSQL veri tabanlarına erişebilir

    Açıklama: Kötü amaçlarla oluşturulmuş bir web sitesinin diğer web sitelerinin veri tabanlarına erişmesine neden olabilecek WebSQL tablolarının yeniden adlandırılmasında bir yetkilendirme denetimi sorunu vardı. Bu sorun yetkilendirme denetimleri iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3727: HP's Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • Wi-Fi Bağlantısı

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: iOS aygıtları, bilinen ancak düşürülmüş güvenlik türüne sahip bir ESSID'yi yayımlayan güvenilmeyen erişim noktalarıyla otomatik olarak ilişki kurabilir

    Açıklama: Wi-Fi yöneticisinin bilinen erişim noktası yayınlarını değerlendirmesinde yetersiz karşılaştırma sorunu vardı. Bu sorun, güvenlik parametrelerinin eşleştirilmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3728: Carnegie Mellon Üniversitesi'nden Brian W. Gray, TripWire'dan Craig Young

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: