iOS 10'un güvenlik içeriği hakkında

Bu belgede iOS 10'un güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

iOS 10

Yayınlanma tarihi: 13 Eylül 2016

AppleMobileFileIntegrity

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Yerel bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Görev bağlantı noktası devralma politikasında bir doğrulama sorunu vardı. Bu sorun, işlem yetkilendirmesi ve Ekip Kimliğinin doğrulanması iyileştirilerek giderildi.

CVE-2016-4698: Pedro Vilaça

Giriş eklenme tarihi: 20 Eylül 2016

Varlıklar

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Ayrıcalıklı bir ağ konumunda bulunan bir saldırgan, aygıtın yazılım güncellemelerini almasını engelleyebilir

Açıklama: iOS güncellemelerinde kullanıcı iletişimlerinin güvenliğinin düzgün bir şekilde sağlanmamasına neden olan bir sorun vardı. Bu sorun, yazılım güncellemeleri için HTTPS kullanılarak giderildi.

CVE-2016-4741: DinoSec'ten Raul Siles

Ses

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-4702: Yonsei Üniversitesi, Information Security Lab'den YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park ve Taekyoung Kwon

Giriş eklenme tarihi: 20 Eylül 2016

Sertifika Güven Politikası

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Sertifika güven politikasında güncelleme

Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi şu adreste görüntülenebilir: https://support.apple.com/tr-tr/HT204132.

Giriş eklenme tarihi: 20 Eylül 2016

CFNetwork

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Yerel bir kullanıcı, bir kullanıcının ziyaret etmiş olduğu web sitelerini bulabilir

Açıklama: Yerel Depolama Alanı'nın silinmesinde bir sorun vardı. Bu sorun, Yerel Depolama Alanı temizleme işlemi iyileştirilerek giderildi.

CVE-2016-4707: anonim bir araştırmacı

Giriş eklenme tarihi: 20 Eylül 2016

CFNetwork

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kullanıcı bilgilerini tehlikeye atabilir

Açıklama: Ayarlanan çerez başlığının ayrıştırılmasında bir giriş doğrulama sorunu vardı. Bu sorun, doğrulama denetimi iyileştirilerek giderildi.

CVE-2016-4708: Silesia Security Lab'den Dawid Czagan

Giriş eklenme tarihi: 20 Eylül 2016

CommonCrypto

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: CCrypt kullanan bir uygulama, çıkış ve giriş arabellekleri aynıysa hassas düz metni gösterebilir

Açıklama: corecrypto'da bir giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2016-4711: Max Lohrmann

Giriş eklenme tarihi: 20 Eylül 2016

CoreCrypto

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama rastgele kod yürütebilir

Açıklama: Sınırların dışında bir yazma sorunu, savunmasız kod kaldırılarak giderildi.

CVE-2016-4712: Gergo Koteles

Giriş eklenme tarihi: 20 Eylül 2016

FontParser

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı.

Sınır denetimi iyileştirilerek bu sorun giderildi.

CVE-2016-4718: Apple

Giriş eklenme tarihi: 20 Eylül 2016

GeoServices

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama, gizli konum bilgilerini okuyabilir

Açıklama: PlaceData'da bir izin sorunu vardı. İzin doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (Bükreş POLITEHNICA Üniversitesi); Luke Deshotels, William Enck (North Carolina Eyalet Üniversitesi); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IDS - Bağlantı

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servis reddine neden olabilir

Açıklama: Arama Geçişi'nin işlenmesinde bir kimlik sahtekarlığı sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2016-4722: salesforce.com'dan Martin Vigo (@martin_vigo)

Giriş eklenme tarihi: 20 Eylül 2016

IOAcceleratorFamily

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.

CVE-2016-4724: Team OverSky'dan Cererdlong, Eakerqiu

Giriş eklenme tarihi: 20 Eylül 2016

IOAcceleratorFamily

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-4725: Plex, Inc.'den Rodger Combs

Giriş eklenme tarihi: 20 Eylül 2016

IOAcceleratorFamily

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-4726: anonim bir araştırmacı

Giriş eklenme tarihi: 20 Eylül 2016

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Yerel bir uygulama kısıtlanmış dosyalara erişebilir

Açıklama: Dizin yollarının işlenmesindeki bir ayrıştırma sorunu, yol doğrulaması iyileştirilerek giderildi.

CVE-2016-4771: MRG Effitas Araştırma Direktörü Balazs Bucsay

Giriş eklenme tarihi: 20 Eylül 2016

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Kilit işleme iyileştirilerek bir kilit işleme sorunu giderildi.

CVE-2016-4772: mh-sec'ten Marc Heuse

Giriş eklenme tarihi: 20 Eylül 2016

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama, çekirdek belleği düzenini belirleyebilir

Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan birden çok sınırların dışında okuma sorunu vardı. Bu sorunlar, giriş doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Giriş eklenme tarihi: 20 Eylül 2016

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Etkilenen kod kaldırılarak güvenilmeyen işaretçi dereferansı sorunu giderildi.

CVE-2016-4777: Qihoo 360 Vulcan Team'den Lufeng Li

Giriş eklenme tarihi: 20 Eylül 2016

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-4778: CESG

Giriş eklenme tarihi: 20 Eylül 2016

Klavyeler

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Klavyenin otomatik düzeltme önerileri hassas bilgileri açığa çıkarabilir

Açıklama: iOS klavyesi yanlışlıkla gizli bilgileri yakalıyordu. Bu sorun, buluşsal yöntemler iyileştirilerek giderildi.

CVE-2016-4746: Antoine M, France

libxml2

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: libxml2'de birden çok sorun var; bu sorunlardan en önemlisi, uygulamanın beklenmedik biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Giriş eklenme tarihi: 20 Eylül 2016

libxslt

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-4738: Nick Wellnhofer

Giriş eklenme tarihi: 20 Eylül 2016

Mail

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, posta kimlik bilgilerini ele geçirebilir

Açıklama: Güvenilmeyen sertifikaların işlenmesinde bir sorun vardı. Bu sorun güvenilmeyen bağlantılar sonlandırılarak çözüldü.

CVE-2016-4747: Dave Aitel

Mesajlar

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Mesajlar uygulamasında oturum açmamış bir cihazda Mesajlar görüntülenebilir

Açıklama: Mesajlar için Handoff kullanılırken bir sorun meydana geliyordu. Bu sorun daha iyi durum yönetimi ile giderildi.

CVE-2016-4740: Step Wallace

UIKit Yazdırma

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: AirPrint önizlemesi kullanılırken, şifrelenmemiş bir belge geçici bir dosyaya yazdırılabilir

Açıklama: AirPrint önizlemesi ile ilgili bir sorun vardı. Ortam temizliği iyileştirilerek bu sorun giderildi.

CVE-2016-4749: Scott Alexander (@gooshy)

Giriş güncellenme tarihi: 12 Eylül 2018

S2 Kamera

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-4750: Trend Micro'nun Zero Day Initiative programı ile çalışan, Trend Micro'dan Jack Tang (@jacktang310) ve Moony Li

Giriş eklenme tarihi: 20 Eylül 2016

Safari Okuyucu

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir web sayfasında Safari Okuyucu özelliğinin etkinleştirilmesi evrensel siteler arası betik kullanımına neden olabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek birden çok doğrulama sorunu giderildi.

CVE-2016-4618: Erling Ellingsen

Giriş eklenme tarihi: 20 Eylül 2016, güncellenme tarihi: 23 Eylül 2016.

Korumalı Alan Profilleri

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü niyetli bir uygulama bir kullanıcının kime mesaj gönderdiğini belirleyebilir

Açıklama: SMS taslak dizinlerinde bir erişim denetimi sorunu vardı. Uygulamaların etkilenen dizinleri belirtmesi önlenerek bu sorun giderildi.

CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (Bükreş POLITEHNICA Üniversitesi); Luke Deshotels, William Enck (North Carolina Eyalet Üniversitesi); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Güvenlik

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: İmzalı disk görüntülerinde bir doğrulama sorunu vardı. Boyut doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2016-4753: Google Inc.'den Mark Mentovai

Giriş eklenme tarihi: 20 Eylül 2016

Springboard

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Task Switcher'da sunulan uygulama enstantanelerinde hassas veriler gösterilebilir

Açıklama: Springboard'da, hassas bilgiler içeren önbelleğe alınmış enstantanelerin Task Switcher'da görüntülenmesine neden olan bir sorun vardı. Güncellenmiş enstantaneler görüntülenerek bu sorun giderildi.

CVE-2016-7759: Ankara Ptt Genel Müdürlüğü'nden Fatma Yılmaz

Giriş eklenme tarihi: 17 Ocak 2017

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Hata prototiplerinin işlenmesinde bir ayrıştırma sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2016-4728: Daniel Divricean

Giriş eklenme tarihi: 20 Eylül 2016

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek hassas bilgileri sızdırabilir

Açıklama: Konum değişkeninin işlenmesiyle ilgili bir izin sorunu vardı. Ek sahiplik denetimleriyle bu sorun giderildi.

CVE-2016-4758: Cure53'den Masato Kinugawa

Giriş eklenme tarihi: 20 Eylül 2016

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Google Project Zero'dan Natalie Silvanovich

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Palo Alto Networks'ten Tongbo Luo

CVE-2016-4762: Baidu Security Lab'den Zheng Huang

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: Trend Micro'nun Zero Day Initiative programı ile çalışan anonim bir araştırmacı

Giriş eklenme tarihi: 20 Eylül 2016

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlı bir web sitesi HTTP olmayan hizmetlere erişebilir

Açıklama: Safari'nin HTTP/0.9 desteği, DNS yeniden bağlanmasını kullanan HTTP olmayan hizmetlerin çapraz protokol suistimaline izin veriyordu. Belge farklı bir HTTP protokolü sürümü ile yüklenmişse HTTP/0.9 yanıtları saptanmış bağlantı noktalarıyla kısıtlanarak ve kaynak yüklemeleri iptal edilerek bu sorun giderildi.

CVE-2016-4760: Jordan Milne

Giriş eklenme tarihi: 20 Eylül 2016

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-4733: Google Project Zero'dan Natalie Silvanovich

CVE-2016-4765: Apple

Giriş eklenme tarihi: 20 Eylül 2016

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Ayrıcalıklı bir ağ konumundaki saldırgan ağ trafiğini kesintiye uğratabilir ve HTTPS ile WKWebView kullanarak uygulamalara giden ağ trafiğini değiştirebilir

Açıklama: WKWebView'in işlenmesinde bir sertifika doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2016-4763: anonim bir araştırmacı

Giriş eklenme tarihi: 20 Eylül 2016

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-4764: Apple

Giriş eklenme tarihi: 3 Kasım 2016

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: