iOS 9.3'ün güvenlik içeriği hakkında
Bu belgede iOS 9.3'ün güvenlik içeriği açıklanmaktadır.
Apple, müşterilerimizi korumak amacıyla tam bir inceleme gerçekleştirilip gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Mümkün olduğunda daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.
Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.
iOS 9.3
AppleUSBNetworking
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir USB aygıtı servis reddine neden olabilir
Açıklama: Paket doğrulamada bir hata işleme sorunu tespit edildi. Bu sorun, iyileştirilmiş hata işlemeyle giderildi.
CVE kimliği
CVE-2016-1734: Inverse Path'ten Andrea Barisani ve Andrej Rosano
FontParser
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Bir bellek bozulması sorunu belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1740: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan HappilyCoded (ant4g0nist ve r3dsm0k3)
HTTPProtocol
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Aygıta uzaktan erişen bir saldırgan rastgele kod yürütebilir
Açıklama: 1.6.0'dan önceki nghttp2 sürümlerinde, aralarında en ciddi olanı rastgele kod yürütülmesine neden olan birden çok güvenlik açığı vardı. Bu güvenlik açıkları nghttp2'nin 1.6.0 sürümüne güncellenmesiyle giderildi.
CVE kimliği
CVE-2015-8659
IOHIDFamily
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir uygulama çekirdek belleği düzenini belirleyebilir
Açıklama: Bir bellek bozulması sorunu belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1748: Brandon Azad
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir uygulama servis reddine neden olabilir
Açıklama: Servis reddi sorunu doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1752: CESG
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Boşaltılan belleğin kullanılması sorunu bellek yönetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1750: CESG
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Birden çok tam sayı taşması girdi doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1753: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan Trend Micro'dan Juwei Lin
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir uygulama kod imzalamayı atlayabilir
Açıklama: Yürütme izninin hatalı olarak verildiği bir izin sorunu vardı. Bu sorun izin doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1751: Square Mobile Security'den Eric Monti
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Yeni işlemlerin oluşturulması sırasında yarış durumu vardı. Bu sorun durum işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1757: Pedro Vilaça ve Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Null işaretçi başvurusu girdi doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1756: Qihoo 360 Vulcan Team'den Lufeng Li
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Birden çok bellek bozulması sorunu belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1754: Qihoo 360 Vulcan Team'den Lufeng Li
CVE-2016-1755: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir uygulama çekirdek belleği düzenini belirleyebilir
Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1758: Brandon Azad
LaunchServices
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir uygulama olayları diğer uygulamalardan değiştirebilir
Açıklama: XPC Services API'da bir olay işleme doğrulama sorunu tespit edildi. Bu sorun mesaj doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1760: Qihoo 360 Nirvan Team'den Proteas
libxml2
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş XML dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Birden çok bellek bozulması sorunu belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2015-1819
CVE-2015-5312: Google'dan David Drysdale
CVE-2015-7499
CVE-2015-7500: Google'dan Kostya Serebryany
CVE-2015-7942: Google'dan Kostya Serebryany
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1761: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan wol0xff
CVE-2016-1762
Mesajlar
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek diğer Mesaj konu gruplarına otomatik olarak metin doldurabilir
Açıklama: SMS URL'lerinin ayrıştırılmasında sorun vardı. Bu sorun, URL doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1763: CityTog
Mesajlar
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Apple'ın sertifika iğnelemesini atlayabilen, TLS bağlantılarını ele geçirebilen, mesaj ekleyebilen ve şifreli ilişik türü mesajları kaydedebilen bir saldırgan ilişikleri okuyabilir
Açıklama: Şifreleme sorunu istemcideki yinelenen mesajlar reddedilerek giderildi.
CVE kimliği
CVE-2016-1788: Johns Hopkins University'den Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers ve Michael Rushanan
Profiller
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Güvenilmeyen MDM profili doğrulanmış olarak hatalı şekilde görüntülenebilir
Açıklama: MDM profillerinde sertifika doğrulama sorunu vardı. Bu sorun ek denetimlerle giderildi.
CVE kimliği
CVE-2016-1766: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan Taylor Boyko
Güvenlik
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir sertifikayı işlemek rastgele kod yürütülmesine neden olabilir
Açıklama: ASN.1 kod çözücüsünde bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1950: Quarkslab'den Francis Gabriel
TrueTypeScaler
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1775: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan 0x1byte
WebKit
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriklerini işlemek rastgele kod yürütülmesine neden olabilir
Açıklama: Birden çok bellek bozulması sorunu belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1778: Trend Micro'nun Zero Day Initiative'i (ZDI) ile 0x1byte çalışma ve CM Security'den Yang Zhao
CVE-2016-1783: Google'dan Mihai Parparita
WebKit
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir web sitesi hassas kullanıcı bilgilerini izleyebilir
Açıklama: İlişik URL'lerinin işlenmesinde sorun vardı. Bu sorun URL'lerin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1781: Dropbox, Inc.'den Devdatta Akhawe
WebKit
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Bir web sitesi hassas kullanıcı bilgilerini izleyebilir
Açıklama: Gizli bir web sayfası aygıt yönü ve hareketi verilerine erişebilir. Bu sorun web görünümü gizli olduğunda verilerin kullanılabilirliğini askıya alarak giderildi.
CVE kimliği
CVE-2016-1780: School of Computing Science, Newcastle University, UK'den Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti ve Feng Hao
WebKit
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek kullanıcının geçerli konumunu açığa çıkarabilir
Açıklama: Coğrafi konum isteklerinin ayrıştırılmasında sorun vardı. Bu sorun coğrafi konum isteklerinin güvenlik kaynağı doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1779: Tencent's Xuanwu Lab'den xisigr (www.tencent.com)
WebKit
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir web sitesi rastgele sunuculardaki sınırlanmış kapılara erişebilir
Açıklama: Kapı yeniden yönlendirme sorunu ek bağlantı doğrulamasıyla giderildi.
CVE kimliği
CVE-2016-1782: Recruit Technologies Co.,Ltd.'den Muneaki Nishimura (nishimunea)
WebKit
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir URL'yi ziyaret etmek, hassas kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: XSS denetçisi blok modda kullanılırken URL'yi yeniden yönlendirmede bir sorun vardı. Bu sorun URL gezinmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1864: Takeshi Terada of Mitsui Bussan Secure Directions, Inc.
WebKit Tarihçesi
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek Safari'nin beklenmedik şekilde çökmesine yol açabilir
Açıklama: Kaynak tükenmesi sorunu girdi doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1784: TrendMicro'dan Moony Li ve Jack Tang ve 无声信息技术PKAV Team'den 李普君 (PKAV.net)
WebKit Sayfa Yüklemesi
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir
Açıklama: Yönlendirme yanıtları, kötü amaçlı bir web sitesinin rastgele URL görüntülemesine ve hedef kaynağının önbelleğe alınmış içeriklerini okumasına izin vermiş olabilir. Bu sorun URL görüntüleme mantığı iyileştirilerek giderildi.
CVE kimliği
CVE-2016-1786: LINE Corporation'dan ma.la
WebKit Sayfa Yüklemesi
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Kötü amaçlı bir web sitesi kaynaklar arasında veri çalabilir
Açıklama: Karakter kodlamasında önbelleğe alma sorunu vardı. Bu sorun ek istek denetimiyle giderildi.
CVE kimliği
CVE-2016-1785: Anonim bir araştırmacı
Wi-Fi
İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan rastgele kod yürütebilir
Açıklama: Belirli bir ethertype için çerçeve doğrulaması ve bellek bozulması sorunu vardı. Bu sorun ek ethertype doğrulamasıyla ve belleğin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2016-0801: anonim bir araştırmacı
CVE-2016-0802: anonim bir araştırmacı
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.