iOS 9.3'ün güvenlik içeriği hakkında

Bu belgede iOS 9.3'ün güvenlik içeriği açıklanmaktadır.

Apple, müşterilerimizi korumak amacıyla tam bir inceleme gerçekleştirilip gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Mümkün olduğunda daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.

iOS 9.3

  • AppleUSBNetworking

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Bir USB aygıtı servis reddine neden olabilir

    Açıklama: Paket doğrulamada bir hata işleme sorunu tespit edildi. Bu sorun, iyileştirilmiş hata işlemeyle giderildi.

    CVE kimliği

    CVE-2016-1734: Inverse Path'ten Andrea Barisani ve Andrej Rosano

  • FontParser

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Bir bellek bozulması sorunu belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1740: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan HappilyCoded (ant4g0nist ve r3dsm0k3)

  • HTTPProtocol

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Aygıta uzaktan erişen bir saldırgan rastgele kod yürütebilir

    Açıklama: 1.6.0'dan önceki nghttp2 sürümlerinde, aralarında en ciddi olanı rastgele kod yürütülmesine neden olan birden çok güvenlik açığı vardı. Bu güvenlik açıkları nghttp2'nin 1.6.0 sürümüne güncellenmesiyle giderildi.

    CVE kimliği

    CVE-2015-8659

  • IOHIDFamily

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Bir uygulama çekirdek belleği düzenini belirleyebilir

    Açıklama: Bir bellek bozulması sorunu belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1748: Brandon Azad

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Bir uygulama servis reddine neden olabilir

    Açıklama: Servis reddi sorunu doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1752: CESG

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Boşaltılan belleğin kullanılması sorunu bellek yönetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1750: CESG

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Birden çok tam sayı taşması girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1753: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan Trend Micro'dan Juwei Lin

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Bir uygulama kod imzalamayı atlayabilir

    Açıklama: Yürütme izninin hatalı olarak verildiği bir izin sorunu vardı. Bu sorun izin doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1751: Square Mobile Security'den Eric Monti

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Yeni işlemlerin oluşturulması sırasında yarış durumu vardı. Bu sorun durum işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1757: Pedro Vilaça ve Google Project Zero'dan Ian Beer

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Null işaretçi başvurusu girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1756: Qihoo 360 Vulcan Team'den Lufeng Li

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Birden çok bellek bozulması sorunu belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1754: Qihoo 360 Vulcan Team'den Lufeng Li

    CVE-2016-1755: Google Project Zero'dan Ian Beer

  • Çekirdek

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Bir uygulama çekirdek belleği düzenini belirleyebilir

    Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1758: Brandon Azad

  • LaunchServices

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Bir uygulama olayları diğer uygulamalardan değiştirebilir

    Açıklama: XPC Services API'da bir olay işleme doğrulama sorunu tespit edildi. Bu sorun mesaj doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1760: Qihoo 360 Nirvan Team'den Proteas

  • libxml2

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş XML dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Birden çok bellek bozulması sorunu belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-1819

    CVE-2015-5312: Google'dan David Drysdale

    CVE-2015-7499

    CVE-2015-7500: Google'dan Kostya Serebryany

    CVE-2015-7942: Google'dan Kostya Serebryany

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan wol0xff

    CVE-2016-1762

  • Mesajlar

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek diğer Mesaj konu gruplarına otomatik olarak metin doldurabilir

    Açıklama: SMS URL'lerinin ayrıştırılmasında sorun vardı. Bu sorun, URL doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1763: CityTog

  • Mesajlar

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Apple'ın sertifika iğnelemesini atlayabilen, TLS bağlantılarını ele geçirebilen, mesaj ekleyebilen ve şifreli ilişik türü mesajları kaydedebilen bir saldırgan ilişikleri okuyabilir

    Açıklama: Şifreleme sorunu istemcideki yinelenen mesajlar reddedilerek giderildi.

    CVE kimliği

    CVE-2016-1788: Johns Hopkins University'den Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers ve Michael Rushanan

  • Profiller

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Güvenilmeyen MDM profili doğrulanmış olarak hatalı şekilde görüntülenebilir

    Açıklama: MDM profillerinde sertifika doğrulama sorunu vardı. Bu sorun ek denetimlerle giderildi.

    CVE kimliği

    CVE-2016-1766: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan Taylor Boyko

  • Güvenlik

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir sertifikayı işlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: ASN.1 kod çözücüsünde bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1950: Quarkslab'den Francis Gabriel

  • TrueTypeScaler

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1775: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan 0x1byte

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş web içeriklerini işlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: Birden çok bellek bozulması sorunu belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1778: Trend Micro'nun Zero Day Initiative'i (ZDI) ile 0x1byte çalışma ve CM Security'den Yang Zhao

    CVE-2016-1783: Google'dan Mihai Parparita

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Bir web sitesi hassas kullanıcı bilgilerini izleyebilir

    Açıklama: İlişik URL'lerinin işlenmesinde sorun vardı. Bu sorun URL'lerin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1781: Dropbox, Inc.'den Devdatta Akhawe

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Bir web sitesi hassas kullanıcı bilgilerini izleyebilir

    Açıklama: Gizli bir web sayfası aygıt yönü ve hareketi verilerine erişebilir. Bu sorun web görünümü gizli olduğunda verilerin kullanılabilirliğini askıya alarak giderildi.

    CVE kimliği

    CVE-2016-1780: School of Computing Science, Newcastle University, UK'den Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti ve Feng Hao

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek kullanıcının geçerli konumunu açığa çıkarabilir

    Açıklama: Coğrafi konum isteklerinin ayrıştırılmasında sorun vardı. Bu sorun coğrafi konum isteklerinin güvenlik kaynağı doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1779: Tencent's Xuanwu Lab'den xisigr (www.tencent.com)

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir web sitesi rastgele sunuculardaki sınırlanmış kapılara erişebilir

    Açıklama: Kapı yeniden yönlendirme sorunu ek bağlantı doğrulamasıyla giderildi.

    CVE kimliği

    CVE-2016-1782: Recruit Technologies Co.,Ltd.'den Muneaki Nishimura (nishimunea)

  • WebKit

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir URL'yi ziyaret etmek, hassas kullanıcı bilgilerinin açığa çıkmasına neden olabilir

    Açıklama: XSS denetçisi blok modda kullanılırken URL'yi yeniden yönlendirmede bir sorun vardı. Bu sorun URL gezinmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1864: Takeshi Terada of Mitsui Bussan Secure Directions, Inc.

  • WebKit Tarihçesi

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek Safari'nin beklenmedik şekilde çökmesine yol açabilir

    Açıklama: Kaynak tükenmesi sorunu girdi doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1784: TrendMicro'dan Moony Li ve Jack Tang ve 无声信息技术PKAV Team'den 李普君 (PKAV.net)

  • WebKit Sayfa Yüklemesi

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir

    Açıklama: Yönlendirme yanıtları, kötü amaçlı bir web sitesinin rastgele URL görüntülemesine ve hedef kaynağının önbelleğe alınmış içeriklerini okumasına izin vermiş olabilir. Bu sorun URL görüntüleme mantığı iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1786: LINE Corporation'dan ma.la

  • WebKit Sayfa Yüklemesi

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Kötü amaçlı bir web sitesi kaynaklar arasında veri çalabilir

    Açıklama: Karakter kodlamasında önbelleğe alma sorunu vardı. Bu sorun ek istek denetimiyle giderildi.

    CVE kimliği

    CVE-2016-1785: Anonim bir araştırmacı

  • Wi-Fi

    İlgili ürünler: iPhone 4s ve sonraki modelleri, iPod touch (5. nesil) ve sonraki modelleri, iPad 2 ve sonraki modelleri

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan rastgele kod yürütebilir

    Açıklama: Belirli bir ethertype için çerçeve doğrulaması ve bellek bozulması sorunu vardı. Bu sorun ek ethertype doğrulamasıyla ve belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-0801: anonim bir araştırmacı

    CVE-2016-0802: anonim bir araştırmacı

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: