iOS 9.1'in güvenlik içeriği hakkında

Bu belgede iOS 9.1'in güvenlik içeriği açıklanmaktadır.

Apple, müşterilerimizi korumak amacıyla tam bir inceleme gerçekleştirilip gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Mümkün olduğunda daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.

iOS 9.1

  • Accelerate Framework

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: Accelerate Framework'te çoklu kullanım modunda bellek bozulması sorunu vardı. Bu sorun erişimci öğe doğrulaması ve nesne kilitleme işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5940: Apple

  • Bom

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir arşivi açmak rastgele kod yürütülmesine neden olabilir

    Açıklama: CPIO arşivlerinin işlenmesinde dosya geçişi güvenlik açığı vardı. Bu sorun meta veri doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7006: Azimuth Güvenlik'ten Mark Dowd

  • CFNetwork

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek çerezlerin üzerine yazılmasına neden olabilir

    Açıklama: Farklı harf büyüklüğüne sahip çerezlerin işlenmesinde ayrıştırma sorunu vardı. Bu sorun ayrıştırma işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7023: Marvin Scholz ve Michael Lutonsky; Tsinghua Üniversitesi'nden Xiaofeng Zheng ve Jinjin Liang, California Üniversitesi Berkeley'den Jian Jiang, Tsinghua Üniversitesi ve International Computer Science Institute'dan Haixin Duan, Microsoft Research Redmond'dan Shuo Chen, Huawei Kanada'dan Tao Wan, International Computer Science Institute ve California Üniversitesi, Berkeley'den Nicholas Weaver (CERT/CC tarafından koordine edildi)

  • configd

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir

    Açıklama: DNS istemci arşivinde yığına bağlı arabellek taşması sorunu vardı. Yerel configd servisinden sahte yanıtlar gönderebilen kötü amaçlı bir uygulama DNS istemcilerinde rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: CoreGraphics'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • CoreText

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar, sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team

  • Disk Görüntüleri

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Disk görüntülerinin ayrıştırılmasında bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-6995: Google Project Zero'dan Ian Beer

  • FontParser

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar, sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6978: Jaanus Kp, Clarified Security, HP Zero Day Initiative ile birlikte

    CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team

  • GasGauge

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-6979: PanguTeam

  • Grand Central Dispatch

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir paketi işlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: Gönderim aramalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-6989: Apple

  • Grafik Sürücüsü

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulamayı çalıştırmak çekirdek içinde rastgele kod yürütülmesine neden olabilir

    Açıklama: AppleVXD393'te tür karışıklığı sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-6986: Qihoo 360 Nirvan Team'den Proteas

  • ImageIO

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir görüntü dosyasını açmak rastgele kod yürütülmesine neden olabilir

    Açıklama: Görüntü meta verilerinin ayrıştırılmasında birden çok bellek bozulması sorunu vardı. Bu sorunlar meta veri doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOAcceleratorFamily'de bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-6996: Google Project Zero'dan Ian Beer

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Yerel bir uygulama servis reddine neden olabilir

    Açıklama: Çekirdekte girdi doğrulama sorunu vardı. Bu sorun girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7004: NowSecure Research Team'den Sergi Alvarez (pancake)

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan rastgele kod yürütebilir

    Açıklama: Çekirdekte başlatılmamış bellek sorunu vardı. Bu sorun, belleğin başlatılması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Yerel bir uygulama servis reddine neden olabilir

    Açıklama: Sanal belleğin yeniden kullanımında sorun vardı. Bu sorun doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-6994: Google Inc.'ten Mark Mentovai

  • mDNSResponder

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Yetkisiz bir saldırgan uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: DNS veri ayrıştırmasında birden çok bellek bozulması sorunu vardı. Bu sorunlar, sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7987: Alexandre Helie

  • mDNSResponder

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Yerel bir uygulama servis reddine neden olabilir

    Açıklama: Null işaretçi dereferans sorunu belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7988: Alexandre Helie

  • Bildirim Merkezi

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Telefon ve Mesajlar bildirimleri, seçenek devre dışı bırakılsa bile kilitli ekranda görünebilir

    Açıklama: Telefon veya Mesajlar için "Kilitli Ekranda Göster" seçeneği kapatıldığında konfigürasyon değişiklikleri hemen uygulanmıyordu. Bu sorun durum yönetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7000: Hampton School'dan William Redwood

  • OpenGL

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: OpenGL'de bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5924: Apple

  • Güvenlik

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir sertifikayı işlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: ASN.1 kod çözücüsünde birden çok bellek bozulması sorunu vardı. Bu sorunlar girdi doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7059: Mozilla'dan David Keeler

    CVE-2015-7060: Mozilla'dan Tyson Smith

    CVE-2015-7061: Google'dan Ryan Sleevi

  • Güvenlik

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir

    Açıklama: AtomicBufferedFile açıklayıcılarının işlenmesinde çift serbest bırakma sorunu vardı. Bu sorun AtomicBufferedFile açıklayıcılarının doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-6983: Chrome Ekibi'nden David Benjamin, Greg Kerr, Mark Mentovai ve Sergey Ulanov

  • Güvenlik

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Saldırgan, iptal edilen bir sertifikanın geçerli görünmesini sağlayabilir

    Açıklama: OSCP istemcisinde doğrulama sorunu vardı. Bu sorun OSCP sertifikasının sona erme tarihi kontrol edilerek giderildi.

    CVE kimliği

    CVE-2015-6999: Apple

  • Güvenlik

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: İptal denetimi gerektirecek şekilde yapılandırılan bir güven değerlendirmesi, iptal denetimi başarısız olsa bile başarılı olabilir

    Açıklama: kSecRevocationRequirePositiveResponse bayrağı belirtilmesine rağmen uygulanmıyordu. Bu sorun bayrağın uygulanması sağlanarak giderildi.

    CVE kimliği

    CVE-2015-6997: Apple

  • Telefon

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama hassas kullanıcı bilgilerini sızdırabilir

    Açıklama: Telefon arama durumu sorgulamasında kullanılan yetkilendirme denetimlerinde sorun vardı. Bu sorun ek yetkilendirme durum sorgulamaları aracılığıyla giderildi.

    CVE kimliği

    CVE-2015-7022: NESO Security Labs'den Andreas Kurtz

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5928: Apple

    CVE-2015-5929: Apple

    CVE-2015-5930: Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002: Apple

    CVE-2015-7005: Apple

    CVE-2015-7012: Apple

    CVE-2015-7014

    CVE-2015-7104: Apple

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: