iOS 10.2.1'in güvenlik içeriği hakkında
Bu belgede iOS 10.2.1'in güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarını kullanarak şifreleyebilirsiniz.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
iOS 10.2.1
APNS Sunucusu
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcının etkinliklerini izleyebilir
Açıklama: Bir istemci sertifikası düz metin olarak gönderiliyordu. Bu sorun, sertifikanın işlenmesi iyileştirilerek giderildi.
CVE-2017-2383: Matthias Wachs ve Quirin Scheitle, Münih Teknik Üniversitesi (TUM)
Arama Geçmişi
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: CallKit arama tarihçesi güncellemeleri iCloud'a gönderiliyor
Açıklama: CallKit arama tarihçesinin iCloud'a yüklenmesinin engellenmesinde bir sorun vardı. İşlem mantığı iyileştirilerek bu sorun giderildi.
CVE-2017-2375: Elcomsoft
Kişiler
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir kişi kartının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir
Açıklama: Kişi kartlarının ayrıştırılmasında girdi doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2368: Vincent Desmurs (vincedes3)
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2017-2370: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2017-2360: Google Project Zero'dan Ian Beer
libarchive
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2016-8687: Gentoo'dan Agostino Sarubbo
iPhone ile Kilit Açma
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Kullanıcının bileğinde değilken Apple Watch'un kilidi açılabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2017-2352: raptAware Pty Ltd'den Ashley Fernandez
WebKit
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: İstisnaların işlenmesi iyileştirilerek bir prototip erişim sorunu giderildi.
CVE-2017-2350: Portswigger Web Security'den Gareth Heyes
WebKit
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2354: Tencent Xuanwu Lab'den (tencent.com), Trend Micro'nun Zero Day Initiative programı ile çalışan Neymar
CVE-2017-2362: Google Project Zero'dan Ivan Fratric
CVE-2017-2373: Google Project Zero'dan Ivan Fratric
WebKit
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2017-2355: PwnFest 2016'daki Team Pangu ve lokihardt
WebKit
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2356: PwnFest 2016'daki Team Pangu ve lokihardt
CVE-2017-2369: Google Project Zero'dan Ivan Fratric
CVE-2017-2366: Tencent Xuanwu Lab'den (tencent.com) Kai Kang
WebKit
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: Sayfa yüklemesinin işlenmesinde doğrulama sorunu vardı. İşlem mantığı iyileştirilerek bu sorun giderildi.
CVE-2017-2363: Google Project Zero'dan lokihardt
CVE-2017-2364: Google Project Zero'dan lokihardt
WebKit
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Kötü amaçlı bir web sitesi, istenmeyen açılır pencerelerle karşılaşılmasına neden olabilir
Açıklama: Açılır pencereleri engellemenin işlenmesinde sorun vardı. Girdi doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2371: Google Project Zero'dan lokihardt
WebKit
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: Değişkenlerin işlenmesinde doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2365: Google Project Zero'dan lokihardt
Wi-Fi
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil ve sonraki modeller
Etki: Etkinleştirme kilidi etkin olan bir aygıtın ana ekranı kısa bir süreliğine görüntülenebilir
Açıklama: Kullanıcı girdilerinin işlenmesinde, etkinleştirme kilidi etkin olduğunda bile aygıtın ana ekranının görüntülenebilmesine neden olan bir sorun vardı. Girdi doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2351: Hemanth Joseph, Primefort Pvt. Ltd.'den Sriram (@Sri_Hxor), Mohamd Imran
Ek teşekkür listesi
WebKit güçlendirme
Vrije Universiteit Amsterdam'daki VUSec group'tan Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos ve Cristiano Giuffrida'ya destekleri için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.