iOS 9.1'in güvenlik içeriği hakkında
Bu belgede iOS 9.1'in güvenlik içeriği açıklanmaktadır.
Apple, müşterilerimizi korumak amacıyla tam bir inceleme gerçekleştirilip gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Mümkün olduğunda daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.
Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.
iOS 9.1
Accelerate Framework
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Accelerate Framework'te çoklu kullanım modunda bellek bozulması sorunu vardı. Bu sorun erişimci öğe doğrulaması ve nesne kilitleme işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5940: Apple
Bom
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir arşivi açmak rastgele kod yürütülmesine neden olabilir
Açıklama: CPIO arşivlerinin işlenmesinde dosya geçişi güvenlik açığı vardı. Bu sorun meta veri doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7006: Azimuth Güvenlik'ten Mark Dowd
CFNetwork
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek çerezlerin üzerine yazılmasına neden olabilir
Açıklama: Farklı harf büyüklüğüne sahip çerezlerin işlenmesinde ayrıştırma sorunu vardı. Bu sorun ayrıştırma işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7023: Marvin Scholz ve Michael Lutonsky; Tsinghua Üniversitesi'nden Xiaofeng Zheng ve Jinjin Liang, California Üniversitesi Berkeley'den Jian Jiang, Tsinghua Üniversitesi ve International Computer Science Institute'dan Haixin Duan, Microsoft Research Redmond'dan Shuo Chen, Huawei Kanada'dan Tao Wan, International Computer Science Institute ve California Üniversitesi, Berkeley'den Nicholas Weaver (CERT/CC tarafından koordine edildi)
configd
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir
Açıklama: DNS istemci arşivinde yığına bağlı arabellek taşması sorunu vardı. Yerel configd servisinden sahte yanıtlar gönderebilen kötü amaçlı bir uygulama DNS istemcilerinde rastgele kod yürütülmesine neden olabilir.
CVE kimliği
CVE-2015-7015: PanguTeam
CoreGraphics
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: CoreGraphics'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5925: Apple
CVE-2015-5926: Apple
CoreText
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar, sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team
Disk Görüntüleri
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Disk görüntülerinin ayrıştırılmasında bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-6995: Google Project Zero'dan Ian Beer
FontParser
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar, sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5927: Apple
CVE-2015-5942
CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6978: Jaanus Kp, Clarified Security, HP Zero Day Initiative ile birlikte
CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team
GasGauge
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-6979: PanguTeam
Grand Central Dispatch
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir paketi işlemek rastgele kod yürütülmesine neden olabilir
Açıklama: Gönderim aramalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-6989: Apple
Grafik Sürücüsü
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulamayı çalıştırmak çekirdek içinde rastgele kod yürütülmesine neden olabilir
Açıklama: AppleVXD393'te tür karışıklığı sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-6986: Qihoo 360 Nirvan Team'den Proteas
ImageIO
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir görüntü dosyasını açmak rastgele kod yürütülmesine neden olabilir
Açıklama: Görüntü meta verilerinin ayrıştırılmasında birden çok bellek bozulması sorunu vardı. Bu sorunlar meta veri doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5935: Apple
CVE-2015-5936: Apple
CVE-2015-5937: Apple
CVE-2015-5939: Apple
IOAcceleratorFamily
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOAcceleratorFamily'de bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-6996: Google Project Zero'dan Ian Beer
IOHIDFamily
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-6974: Luca Todesco (@qwertyoruiop)
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Yerel bir uygulama servis reddine neden olabilir
Açıklama: Çekirdekte girdi doğrulama sorunu vardı. Bu sorun girdi doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7004: NowSecure Research Team'den Sergi Alvarez (pancake)
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan rastgele kod yürütebilir
Açıklama: Çekirdekte başlatılmamış bellek sorunu vardı. Bu sorun, belleğin başlatılması iyileştirilerek giderildi.
CVE kimliği
CVE-2015-6988: The Brainy Code Scanner (m00nbsd)
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Yerel bir uygulama servis reddine neden olabilir
Açıklama: Sanal belleğin yeniden kullanımında sorun vardı. Bu sorun doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-6994: Google Inc.'ten Mark Mentovai
mDNSResponder
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Yetkisiz bir saldırgan uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: DNS veri ayrıştırmasında birden çok bellek bozulması sorunu vardı. Bu sorunlar, sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7987: Alexandre Helie
mDNSResponder
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Yerel bir uygulama servis reddine neden olabilir
Açıklama: Null işaretçi dereferans sorunu belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7988: Alexandre Helie
Bildirim Merkezi
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Telefon ve Mesajlar bildirimleri, seçenek devre dışı bırakılsa bile kilitli ekranda görünebilir
Açıklama: Telefon veya Mesajlar için "Kilitli Ekranda Göster" seçeneği kapatıldığında konfigürasyon değişiklikleri hemen uygulanmıyordu. Bu sorun durum yönetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7000: Hampton School'dan William Redwood
OpenGL
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: OpenGL'de bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5924: Apple
Güvenlik
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir sertifikayı işlemek rastgele kod yürütülmesine neden olabilir
Açıklama: ASN.1 kod çözücüsünde birden çok bellek bozulması sorunu vardı. Bu sorunlar girdi doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2015-7059: Mozilla'dan David Keeler
CVE-2015-7060: Mozilla'dan Tyson Smith
CVE-2015-7061: Google'dan Ryan Sleevi
Güvenlik
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir
Açıklama: AtomicBufferedFile açıklayıcılarının işlenmesinde çift serbest bırakma sorunu vardı. Bu sorun AtomicBufferedFile açıklayıcılarının doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-6983: Chrome Ekibi'nden David Benjamin, Greg Kerr, Mark Mentovai ve Sergey Ulanov
Güvenlik
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Saldırgan, iptal edilen bir sertifikanın geçerli görünmesini sağlayabilir
Açıklama: OSCP istemcisinde doğrulama sorunu vardı. Bu sorun OSCP sertifikasının sona erme tarihi kontrol edilerek giderildi.
CVE kimliği
CVE-2015-6999: Apple
Güvenlik
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: İptal denetimi gerektirecek şekilde yapılandırılan bir güven değerlendirmesi, iptal denetimi başarısız olsa bile başarılı olabilir
Açıklama: kSecRevocationRequirePositiveResponse bayrağı belirtilmesine rağmen uygulanmıyordu. Bu sorun bayrağın uygulanması sağlanarak giderildi.
CVE kimliği
CVE-2015-6997: Apple
Telefon
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama hassas kullanıcı bilgilerini sızdırabilir
Açıklama: Telefon arama durumu sorgulamasında kullanılan yetkilendirme denetimlerinde sorun vardı. Bu sorun ek yetkilendirme durum sorgulamaları aracılığıyla giderildi.
CVE kimliği
CVE-2015-7022: NESO Security Labs'den Andreas Kurtz
WebKit
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-5928: Apple
CVE-2015-5929: Apple
CVE-2015-5930: Apple
CVE-2015-6981
CVE-2015-6982
CVE-2015-7002: Apple
CVE-2015-7005: Apple
CVE-2015-7012: Apple
CVE-2015-7014
CVE-2015-7104: Apple
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.