iOS 9'un güvenlik içeriği hakkında

Bu belgede iOS 9'un güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.

iOS 9

  • Apple Pay

    İlgili ürünler: iPhone 6 ve iPhone 6 Plus

    Etki: Bazı kartlar, ödeme yapılırken son işlem bilgilerini terminallerin sınırlı ölçüde elde etmesine izin verebilir

    Açıklama: Belirli konfigürasyonlarda işlem günlüğü işlevleri etkinleştirilmişti. İşlem günlüğü işlevi kaldırılarak bu sorun giderildi. iPad aygıtları bu sorundan etkilenmemiştir.

    CVE kimliği

    CVE-2015-5916

  • AppleKeyStore

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir saldırgan bir iOS yedeklemesindeki hatalı parola girişimlerini sıfırlayabilir

    Açıklama: iOS aygıtının yedeklemesindeki hatalı parola girişimlerinin sıfırlanmasında bir sorun vardı. Parola hatası mantığı iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5850: Anonim bir araştırmacı

  • Uygulama Mağazası

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir ITMS bağlantısını tıklamak kurumsal imzalı bir uygulamada hizmet reddine neden olabilir

    Açıklama: ITMS bağlantıları aracılığıyla yükleme yapmayla ilgili bir sorun vardı. Ek yükleme doğrulaması aracılığıyla bu sorun giderildi.

    CVE kimliği

    CVE-2015-5856: FireEye, Inc.'den Zhaofeng Chen, Hui Xue ve Tao (Lenx) Wei

  • Ses

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir ses dosyasının çalınması uygulamanın beklenmedik bir şekilde sona ermesine neden olabilir

    Açıklama: Ses dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5862: Information Security Lab'den YoungJin Yoon (Danışman: Prof. Taekyoung Kwon), Yonsei University, Seul, Kore

  • Sertifika Güven Politikası

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Sertifika güven politikasında güncelleme

    Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi şu adreste görüntülenebilir: https://support.apple.com/tr-tr/HT204132.

  • CFNetwork

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir URL, HTTP Sıkı Aktarım Güvenliği'ni (HSTS) atlayabilir ve gizli verileri sızdırabilir

    Açıklama: HSTS'nin işlenmesinde URL'lerin ayrıştırılmasıyla ilgili bir güvenlik açığı vardı. URL'leri ayrıştırma işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5858: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University

  • CFNetwork

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir web sitesi, Safari'nin Özel Dolaşma Modu'nu kullanan kullanıcıları izleyebilir

    Açıklama: Safari'nin özel dolaşma modunda HSTS durumunun işlenmesiyle ilgili bir sorun vardı. Durum işlemesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5860: RadicalResearch Ltd'den Sam Greenhalgh

  • CFNetwork

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: iOS aygıtına fiziksel olarak erişebilen bir kişi, Apple uygulamalarındaki önbellek verilerini okuyabilir

    Açıklama: Önbellek verileri, sadece donanım UID'si tarafından korunan bir anahtarla şifreleniyordu. Önbellek verilerinin, donanım UID'si tarafından korunan bir anahtar ve kullanıcı parolası ile şifrelenmesi sağlanarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5898: NESO Security Labs'den Andreas Kurtz

  • CFNetwork Çerezleri

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcının etkinliklerini izleyebilir

    Açıklama: En üst düzeydeki etki alanlarının işlenmesinde etki alanları arası bir çerez sorunu vardı. Çerez oluşturma sınırlamaları iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5885: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University

  • CFNetwork Çerezleri

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bir saldırgan, bir web sitesi için istenmeyen çerezler oluşturabilir

    Açıklama: WebKit, document.cookie API'sinde birden fazla çerezin ayarlanmasını kabul ediyordu. Ayrıştırma işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-3801: Facebook'tan Erling Ellingsen

  • CFNetwork FTPProtocol

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı FTP sunucuları, istemcinin diğer ana bilgisayarlarla ilgili bilgi toplamasına neden olabilir

    Açıklama: PASV komutu kullanılırken FTP paketlerinin işlenmesinde sorun vardı. Doğrulama iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan ağ trafiğini ele geçirebilir

    Açıklama: Safari'nin özel dolaşma modunda HSTS önyükleme listesi girişlerinin işlenmesiyle ilgili bir sorun vardı. Durum işlemesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5859: University of Luxembourg'dan Rosario Giustolisi

  • CFNetwork Proxy'ler

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir web proxy'sine bağlanılması bir web sitesi için kötü amaçlı çerezler ayarlayabilir

    Açıklama: Proxy bağlantı yanıtlarının işlenmesinde bir sorun vardı. Bağlantı yanıtı ayrıştırılırken ayarlanan çerez başlığı kaldırılarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5841: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University

  • CFNetwork SSL

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, SSL/TLS bağlantılarına erişim sağlayabilir

    Açıklama: NSURL'de, bir sertifika değiştiğinde oluşan bir sertifika doğrulama sorunu vardı. Sertifika doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5824: The Omni Group'tan Timothy J. Wood

  • CFNetwork SSL

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bir saldırgan SSL ile korunan verilerin şifresini çözebilir

    Açıklama: RC4'ün gizliliğine yönelik saldırılar olduğu biliniyordu. Bir saldırgan, sunucu daha iyi şifreleri tercih etse bile, CFNetwork yalnızca RC4'e izin veren SSL 3.0'ı deneyinceye kadar TLS 1.0 ve daha yüksek bağlantıları engelleyerek RC4 kullanılmasını zorunlu bırakabilir. SSL 3.0'a geri dönme işlemi kaldırılarak bu sorun giderildi.

  • CoreAnimation

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, gizli kullanıcı bilgilerini sızdırabilir

    Açıklama: Uygulamalar arka planda çalışırken ekranın çerçeve arabelleğine erişebiliyordu. IOSurface'lerde erişim denetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5880: School of Information Systems Singapore Management University'den Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li, Infocomm Research Cryptography and Security Department Institute'tan Feng Bao ve Jianying Zhou

  • CoreCrypto

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bir saldırgan, bir özel anahtarı belirleyebilir

    Açıklama: Bir saldırgan, çok sayıda oturum açma ve şifre çözme girişimini gözlemleyerek RSA özel anahtarını belirleyebiliyordu. Şifreleme algoritmaları iyileştirilerek bu sorun giderildi.

  • CoreText

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Veri Sensörleri Motoru

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: Metin dosyalarının işlenmesinde bellek bozulması sorunları vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-5829: Safeye Team'den (www.safeye.org) M1x7e1

  • Dev Tools

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: dyld'de bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5876: grayhash'ten beist

  • Disk Görüntüleri

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir kullanıcı sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: DiskImages'da bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bir uygulama kod imzalamayı atlayabilir

    Açıklama: Çalıştırılabilir dosyaların kod imzasının doğrulanmasında bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • Game Center

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir Game Center uygulaması bir kullanıcının e-posta adresine erişebilir

    Açıklama: Game Center'ın kullanıcıların e-postalarını işlemesinde bir sorun vardı. Erişim sınırlamaları iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5855: Nasser Alnasser

  • ICU

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: ICU'da birden fazla güvenlik açığı

    Açıklama: ICU 53.1.0 sürümünden önceki sürümlerde birden fazla güvenlik açığı vardı. ICU sürümünün 55.1'e güncellenmesiyle bu sorunlar giderildi.

    CVE kimliği

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Google Project Zero'dan Mark Brand

  • IOAcceleratorFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir

    Açıklama: Çekirdek bellek içeriğinin açığa çıkmasına neden olan bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5834: Alibaba Mobile Security Team'den Cererdlong

  • IOAcceleratorFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir kullanıcı sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOAcceleratorFamily'de bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'de bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5867: Trend Micro'dan moony li

  • IOKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir kullanıcı sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOMobileFrameBuffer'da bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir saldırgan, çekirdek belleğini okuyabilir

    Açıklama: Çekirdekte bir bellek başlatma sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5863: IOActive'den Ilja van Sprundel

  • iTunes Store

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Çıkış yaptıktan sonra anahtar zincirinde Apple Kimliği bilgileri kalabilir

    Açıklama: Anahtar zincirinin silinmesinde bir sorun vardı. Hesap temizleme işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5832: Check Point Software Technologies'den Kasif Dekel

  • JavaScriptCore

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Google'dan Mark S. Miller

    CVE-2015-5823: Apple

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5868: Alibaba Mobile Security Team'den Cererdlong

    CVE-2015-5896: m00nbsd'den Maxime Villard

    CVE-2015-5903: CESG

    Giriş güncellenme tarihi: 21 Aralık 2016

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir saldırgan, kontrol amaçlı yığın çerezlerinin değerini kontrol edebilir

    Açıklama: Kullanıcı alanında kontrol amaçlı yığın çerezlerinin oluşturulmasında birden fazla güvenlik açığı vardı. Kontrol amaçlı yığın çerezi oluşturma işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2013-3951: Stefan Esser

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir işlem, yetki denetimleri olmadan diğer işlemleri değiştirebilir

    Açıklama: processor_set_tasks API'sı kullanan kök işlemlerin diğer işlemlerin görev bağlantı noktalarını öğrenmesine olanak veren bir sorun vardı. Yetki denetimleri artırılarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5882: Pedro Vilaça, Ming-chieh Pan ve Sung-ting Tsai tarafından gerçekleştirilen özgün araştırma temel alınmıştır; Jonathan Levin

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bir saldırgan doğru sıra numarasını bilmeden, hedeflenen TCP bağlantılarında hizmet reddi saldırıları başlatabilir

    Açıklama: xnu'nun TCP paket başlıklarını doğrulamasında bir sorun vardı. TCP paket başlığı doğrulaması iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-5879: Jonathan Looney

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel LAN bölümündeki bir saldırgan IPv6 yönlendirmesini etkisizleştirebilir

    Açıklama: IPv6 yöneltici tanıtımlarının işlenmesinde bir saldırganın, atlama sınırını rastgele bir değere ayarlamasına izin veren bir yetersiz doğrulama sorunu vardı. Minimum atlama sınırı uygulanarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir

    Açıklama: XNU'da çekirdek belleğin açığa çıkmasına neden olan bir sorun vardı. Çekirdek bellek yapılarının başlatılması iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5842: grayhash'ten beist

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir

    Açıklama: HFS sürücüsü bağlama işleminde bir sorun vardı. Doğrulama denetimleri artırılarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5748: m00nbsd'den Maxime Villard

  • libc

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

    Açıklama: fflush işlevinde bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2014-8611: Norse Corporation'dan Adrian Chadd ve Alfred Perlstein

  • libpthread

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5899: Qihoo 360 Vulcan Team'den Lufeng Li

  • Mail

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Bir saldırgan, alıcının adres defterindeki bir kişiden geliyormuş gibi görünen e-postalar gönderebilir

    Açıklama: Gönderenlerin adreslerinin işlenmesinde bir sorun vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5857: salesforce.com'dan Emre Sağlam

  • Birden Fazla Eş Bağlantısı

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir saldırgan korunmayan birden fazla eşe ait verileri izleyebilir

    Açıklama: Yardımcı başlatıcı işlenmesinde, şifreleme düzeyinin şifrelenmemiş oturuma etkin bir şekilde düşürülmesine olanak veren bir sorun vardı. Yardımcı başlatıcı şifreleme gerektirecek şekilde değiştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5851: Data Theorem'den Alban Diquet (@nabla_c0d3)

  • NetworkExtension

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir

    Açıklama: Çekirdekteki bir başlatılmamış bellek sorunu, çekirdek bellek içeriğinin açığa çıkmasına neden oluyordu. Bellek başlatılarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5831: m00nbsd'den Maxime Villard

  • OpenSSL

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: OpenSSL'de birden fazla güvenlik açığı

    Açıklama: OpenSSL 0.9.8zg sürümünden önceki sürümlerde birden fazla güvenlik açığı vardı. OpenSSL 0.9.8zg sürümüne güncellenerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı olarak oluşturulmuş bir kurumsal uygulama, güvenilir olduğu belirlenmeden önce genişletme yükleyebilir

    Açıklama: Yükleme sırasında genişletmelerin doğrulanmasında bir sorun vardı. Uygulama doğrulaması iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5837: FireEye, Inc.'den Zhaofeng Chen, Hui Xue ve Tao (Lenx) Wei

  • removefile

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı verilerin işlenmesi uygulamanın beklenmedik şekilde sona ermesine neden olabilir

    Açıklama: checkint bölme yordamlarında bir taşma hatası vardı. Bölme yordamları iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5840: Anonim bir araştırmacı

  • Safari

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Yerel bir kullanıcı kilitli bir iOS aygıtındaki Safari yer imlerini parola olmadan okuyabilir

    Açıklama: Safari yer imi verileri, sadece donanım UID'si tarafından korunan bir anahtarla şifreleniyordu. Safari yer imi verilerinin, donanım UID'si tarafından korunan bir anahtar ve kullanıcının parolası ile şifrelenmesi sağlanarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-7118: Jonathan Zdziarski

    Giriş güncellenme tarihi: 21 Aralık 2016

  • Safari

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir

    Açıklama: Bir sorun, bir web sitesinin farklı bir web sitesinden gelen URL ile içerik görüntülemesine izin verebiliyordu. URL'lerin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5904: Facebook'dan Erling Ellingsen, Łukasz Pilorz

  • Safari

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir

    Açıklama: Yanlış oluşturulmuş bir pencere açıcı ile kötü amaçlı bir web sitesine gidilmesi rastgele URL'lerin görüntülenmesine izin verebiliyordu. Pencere açıcıların işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5905: keitahaga.com'dan Keita Haga

  • Safari

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kullanıcılar, istemci sertifikalarını kullanan kötü amaçlı web siteleri tarafından izlenebilir

    Açıklama: Safari'nin SSL kimlik doğrulaması için eşleşen istemci sertifikalarında sorun vardı. Geçerli istemci sertifikalarının eşlemesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-1129: fluid Operations AG'den Stefan Kraus, Whatever s.a.'dan Sylvain Munaut

  • Safari

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir

    Açıklama: Birden fazla kullanıcı arabirimi tutarsızlığı kötü amaçlı bir web sitesinin rastgele URL görüntülemesine neden olabilir. URL görüntüleme mantığı iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5764: Adobe'dan Antonio Sanso (@asanso)

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Secunia aracılığıyla Krystian Kloskowski, Masato Kinugawa

  • Safari Güvenli Dolaşma

    iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı olduğu bilinen bir web sitesinin IP adresine gitmek güvenlik uyarısı başlatmayabilir

    Açıklama: Safari'nin Güvenli Dolaşma özelliği, kullanıcıları kendi IP adresleriyle kötü amaçlı olduğu bilinen web sitelerini ziyaret ettiklerinde uyarmıyordu. Kötü amaçlı siteleri algılama işlemi iyileştirilerek bu sorun giderildi.

    TagsDock'dan Rahul M

  • Güvenlik

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, uygulamalar arasındaki iletişimleri dinleyebilir

    Açıklama: Kötü amaçlı bir uygulamanın uygulamalar arasındaki URL düzeni iletişimlerini dinlemesine izin veren bir sorun vardı. URL düzeni ilk defa kullanıldığında bir iletişim kutusu görüntülenerek bu sorun azaltıldı.

    CVE kimliği

    CVE-2015-5835: FiftyTwoDegreesNorth B.V.'den Teun van Run; Indiana University'den XiaoFeng Wang, Indiana University'den Luyi Xing, Peking University'den Tongxin Li, Peking University'den Tongxin Li, Tsinghua University'den Xiaolong Bai

  • Siri

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: iOS aygıtına fiziksel olarak erişebilen bir kişi, kilitli ekranda gösterilmeyecek şekilde ayarlanan içerik bildirimlerini Siri'yi kullanarak okuyabilir

    Açıklama: Siri'den bir istekte bulunulduğunda istemci tarafındaki sınırlamalar sunucu tarafından kontrol edilmiyordu. Sınırlama denetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: iOS aygıtına fiziksel olarak erişebilen bir kişi, kilit ekranındaki mesaj önizlemeleri etkisizleştirildiğinde sesli bir mesaja kilit ekranından yanıt verebilir

    Açıklama: Kilit ekranındaki bir sorun, mesaj önizlemeleri etkisizleştirildiğinde kullanıcıların sesli mesajları yanıtlamasına izin verebiliyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5861: Meridian Apps'den Daniel Miedema

  • SpringBoard

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama başka bir uygulamanın iletişim pencerelerini yanıltabilir

    Açıklama: Ayrıcalıklı API çağrılarında bir erişim sorunu vardı. Ek kısıtlamalarla bu sorun giderildi.

    CVE kimliği

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: SQLite 3.8.5'te birden fazla güvenlik açığı

    Açıklama: SQLite 3.8.5'te birden fazla güvenlik açığı vardı. Bu sorunlar SQLite sürümü 3.8.10.2'ye güncellenerek giderildi.

    CVE kimliği

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: Tidy'de bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5522: NULLGroup.com'dan Fernando Muñoz

    CVE-2015-5523: NULLGroup.com'dan Fernando Muñoz

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Nesne referansları; özel etkinlikler, mesaj etkinlikleri ve açılır durumdaki etkinliklerde belirlenen kaynaklar arasında sızdırılabilir

    Açıklama: Nesne sızdırma sorunu kaynaklar arasındaki belirleme sınırını kaldırabilir. Kaynaklar arasındaki belirleme işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5827: Gildas

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi istenmeyen bir arama yapılmasına neden olabilir

    Açıklama: tel://, facetime:// ve facetime-audio:// URL'lerinin işlenmesinde bir sorun vardı. URL'lerin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: QuickType, doldurulmuş bir web formundaki parolanın son karakterini öğrenebilir

    Açıklama: WebKit'in parola girdi bağlamını işlemesinde bir sorun vardı. Girdi bağlamı işlemesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5906: Google Inc.'den Louis Romero

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, bağlantıları kötü amaçlı bir etki alanına yeniden yönlendirebilir

    Açıklama: Geçersiz sertifikaya sahip sitelerdeki kaynak önbelleklerinin işlenmesinde bir sorun vardı. geçersiz sertifikaya sahip etki alanlarının uygulama önbelleği reddedilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5907: National University of Singapore'dan (NUS) Yaoqi Jia

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir

    Açıklama: Safari, çapraz kaynak stil sayfalarının, çapraz kaynak verilerinin çalınmasına neden olabilen CSS MIME olmayan türler ile yüklenmesine izin veriyordu. Çapraz kaynak stil sayfaları için MIME türleri sınırlandırarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Performance API'sı kötü amaçlı bir web sitesinin tarama geçmişini, ağ etkinliğini ve fare hareketlerini sızdırmasına izin verebilir

    Açıklama: WebKit'in Performance API'sı, kötü amaçlı bir web sitesinin, tarama geçmişini, ağ etkinliğini ve fare hareketlerini zaman ölçümleri aracılığıyla sızdırmasına olanak verebiliyordu. Zaman çözünürlüğü sınırlandırılarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5825: Columbia Üniversitesi Ağ Güvenliği Laboratuvarı'ndan Yossi Oren ve ark.

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir

    Açıklama: Tür ilişiği içeren Content-Disposition başlıklarında bir sorun vardı. Bu sorun, tür ilişiği sayfalarında bazı işlevlere verilen izinlerin kaldırılmasıyla giderildi.

    CVE kimliği

    CVE-2015-5921: Intel(r) Advanced Threat Research Team'den Mickey Shkatov, Singapore Management University'den Daoyuan Wu, Hong Kong Polytechnic University'den Rocky K. C. Chang, Łukasz Pilorz, www.knownsec.com'den superhei

  • WebKit Canvas

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi başka bir web sitesindeki görüntü verilerini açığa çıkarabilir

    Açıklama: WebKit'teki "canvas" öğesi görüntülerinde bir çapraz kaynak sorunu vardı. Güvenlik kaynaklarının takibi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5788: Apple

  • WebKit Sayfa Yüklemesi

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: WebSocket'ler karışık içerik politikasına uyma zorunluluğunu atlayabilir

    Açıklama: Yetersiz politika zorunluluğu sorunu, WebSocket'lerin karışık içerik yüklemesine izin veriyordu. WebSocket'ler için karışık içerik politikası zorunluluğu genişletilerek bu sorun giderildi.

    Higher Logic'den Kevin G. Jones

FaceTime her ülkede ve bölgede kullanılamaz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: