iOS 10'un güvenlik içeriği hakkında
Bu belgede iOS 10'un güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
iOS 10
AppleMobileFileIntegrity
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Yerel bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Görev bağlantı noktası devralma politikasında bir doğrulama sorunu vardı. Bu sorun, işlem yetkilendirmesi ve Ekip Kimliğinin doğrulanması iyileştirilerek giderildi.
CVE-2016-4698: Pedro Vilaça
Varlıklar
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Ayrıcalıklı bir ağ konumunda bulunan bir saldırgan, aygıtın yazılım güncellemelerini almasını engelleyebilir
Açıklama: iOS güncellemelerinde kullanıcı iletişimlerinin güvenliğinin düzgün bir şekilde sağlanmamasına neden olan bir sorun vardı. Bu sorun, yazılım güncellemeleri için HTTPS kullanılarak giderildi.
CVE-2016-4741: DinoSec'ten Raul Siles
Ses
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4702: Yonsei Üniversitesi, Information Security Lab'den YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park ve Taekyoung Kwon
Sertifika Güven Politikası
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Sertifika güven politikasında güncelleme
Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi şu adreste görüntülenebilir: https://support.apple.com/tr-tr/HT204132.
CFNetwork
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Yerel bir kullanıcı, bir kullanıcının ziyaret etmiş olduğu web sitelerini bulabilir
Açıklama: Yerel Depolama Alanı'nın silinmesinde bir sorun vardı. Bu sorun, Yerel Depolama Alanı temizleme işlemi iyileştirilerek giderildi.
CVE-2016-4707: anonim bir araştırmacı
CFNetwork
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kullanıcı bilgilerini tehlikeye atabilir
Açıklama: Ayarlanan çerez başlığının ayrıştırılmasında bir giriş doğrulama sorunu vardı. Bu sorun, doğrulama denetimi iyileştirilerek giderildi.
CVE-2016-4708: Silesia Security Lab'den Dawid Czagan
CommonCrypto
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: CCrypt kullanan bir uygulama, çıkış ve giriş arabellekleri aynıysa hassas düz metni gösterebilir
Açıklama: corecrypto'da bir giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4711: Max Lohrmann
CoreCrypto
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama rastgele kod yürütebilir
Açıklama: Sınırların dışında bir yazma sorunu, savunmasız kod kaldırılarak giderildi.
CVE-2016-4712: Gergo Koteles
FontParser
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı.
Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-2016-4718: Apple
GeoServices
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama, gizli konum bilgilerini okuyabilir
Açıklama: PlaceData'da bir izin sorunu vardı. İzin doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (Bükreş POLITEHNICA Üniversitesi); Luke Deshotels, William Enck (North Carolina Eyalet Üniversitesi); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
IDS - Bağlantı
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servis reddine neden olabilir
Açıklama: Arama Geçişi'nin işlenmesinde bir kimlik sahtekarlığı sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4722: salesforce.com'dan Martin Vigo (@martin_vigo)
IOAcceleratorFamily
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2016-4724: Team OverSky'dan Cererdlong, Eakerqiu
IOAcceleratorFamily
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4725: Plex, Inc.'den Rodger Combs
IOAcceleratorFamily
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4726: anonim bir araştırmacı
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Yerel bir uygulama kısıtlanmış dosyalara erişebilir
Açıklama: Dizin yollarının işlenmesindeki bir ayrıştırma sorunu, yol doğrulaması iyileştirilerek giderildi.
CVE-2016-4771: MRG Effitas Araştırma Direktörü Balazs Bucsay
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir
Açıklama: Kilit işleme iyileştirilerek bir kilit işleme sorunu giderildi.
CVE-2016-4772: mh-sec'ten Marc Heuse
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama, çekirdek belleği düzenini belirleyebilir
Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan birden çok sınırların dışında okuma sorunu vardı. Bu sorunlar, giriş doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Etkilenen kod kaldırılarak güvenilmeyen işaretçi dereferansı sorunu giderildi.
CVE-2016-4777: Qihoo 360 Vulcan Team'den Lufeng Li
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-4778: CESG
Klavyeler
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Klavyenin otomatik düzeltme önerileri hassas bilgileri açığa çıkarabilir
Açıklama: iOS klavyesi yanlışlıkla gizli bilgileri yakalıyordu. Bu sorun, buluşsal yöntemler iyileştirilerek giderildi.
CVE-2016-4746: Antoine M, France
libxml2
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: libxml2'de birden çok sorun var; bu sorunlardan en önemlisi, uygulamanın beklenmedik biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxslt
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4738: Nick Wellnhofer
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, posta kimlik bilgilerini ele geçirebilir
Açıklama: Güvenilmeyen sertifikaların işlenmesinde bir sorun vardı. Bu sorun güvenilmeyen bağlantılar sonlandırılarak çözüldü.
CVE-2016-4747: Dave Aitel
Mesajlar
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Mesajlar uygulamasında oturum açmamış bir cihazda Mesajlar görüntülenebilir
Açıklama: Mesajlar için Handoff kullanılırken bir sorun meydana geliyordu. Bu sorun daha iyi durum yönetimi ile giderildi.
CVE-2016-4740: Step Wallace
UIKit Yazdırma
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: AirPrint önizlemesi kullanılırken, şifrelenmemiş bir belge geçici bir dosyaya yazdırılabilir
Açıklama: AirPrint önizlemesi ile ilgili bir sorun vardı. Ortam temizliği iyileştirilerek bu sorun giderildi.
CVE-2016-4749: Scott Alexander (@gooshy)
S2 Kamera
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4750: Trend Micro'nun Zero Day Initiative programı ile çalışan, Trend Micro'dan Jack Tang (@jacktang310) ve Moony Li
Safari Okuyucu
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sayfasında Safari Okuyucu özelliğinin etkinleştirilmesi evrensel siteler arası betik kullanımına neden olabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek birden çok doğrulama sorunu giderildi.
CVE-2016-4618: Erling Ellingsen
Korumalı Alan Profilleri
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü niyetli bir uygulama bir kullanıcının kime mesaj gönderdiğini belirleyebilir
Açıklama: SMS taslak dizinlerinde bir erişim denetimi sorunu vardı. Uygulamaların etkilenen dizinleri belirtmesi önlenerek bu sorun giderildi.
CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (Bükreş POLITEHNICA Üniversitesi); Luke Deshotels, William Enck (North Carolina Eyalet Üniversitesi); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Güvenlik
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: İmzalı disk görüntülerinde bir doğrulama sorunu vardı. Boyut doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4753: Google Inc.'den Mark Mentovai
Springboard
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Task Switcher'da sunulan uygulama enstantanelerinde hassas veriler gösterilebilir
Açıklama: Springboard'da, hassas bilgiler içeren önbelleğe alınmış enstantanelerin Task Switcher'da görüntülenmesine neden olan bir sorun vardı. Güncellenmiş enstantaneler görüntülenerek bu sorun giderildi.
CVE-2016-7759: Ankara Ptt Genel Müdürlüğü'nden Fatma Yılmaz
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Hata prototiplerinin işlenmesinde bir ayrıştırma sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4728: Daniel Divricean
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek hassas bilgileri sızdırabilir
Açıklama: Konum değişkeninin işlenmesiyle ilgili bir izin sorunu vardı. Ek sahiplik denetimleriyle bu sorun giderildi.
CVE-2016-4758: Cure53'den Masato Kinugawa
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: Google Project Zero'dan Natalie Silvanovich
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Palo Alto Networks'ten Tongbo Luo
CVE-2016-4762: Baidu Security Lab'den Zheng Huang
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: Trend Micro'nun Zero Day Initiative programı ile çalışan anonim bir araştırmacı
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir web sitesi HTTP olmayan hizmetlere erişebilir
Açıklama: Safari'nin HTTP/0.9 desteği, DNS yeniden bağlanmasını kullanan HTTP olmayan hizmetlerin çapraz protokol suistimaline izin veriyordu. Belge farklı bir HTTP protokolü sürümü ile yüklenmişse HTTP/0.9 yanıtları saptanmış bağlantı noktalarıyla kısıtlanarak ve kaynak yüklemeleri iptal edilerek bu sorun giderildi.
CVE-2016-4760: Jordan Milne
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-4733: Google Project Zero'dan Natalie Silvanovich
CVE-2016-4765: Apple
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Ayrıcalıklı bir ağ konumundaki saldırgan ağ trafiğini kesintiye uğratabilir ve HTTPS ile WKWebView kullanarak uygulamalara giden ağ trafiğini değiştirebilir
Açıklama: WKWebView'in işlenmesinde bir sertifika doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4763: anonim bir araştırmacı
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-4764: Apple
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.