iOS 10.2.1'in güvenlik içeriği hakkında

Bu belgede iOS 10.2.1'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Mümkün olduğunda, Apple güvenlik belgelerinde güvenlik açıklarından CVE Kimliği ile bahsedilir.

iOS 10.2.1

Yayınlanma Tarihi: 23 Ocak 2017

APNs Sunucusu

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan bir kullanıcının etkinliklerini izleyebilir

Açıklama: Bir istemci sertifikası düz metin olarak gönderildi. Bu sorun sertifika işleme süreci iyileştirilerek giderildi.

CVE-2017-2383: Matthias Wachs ve Quirin Scheitle, Münih Teknik Üniversitesi (TUM)

Giriş 28 Mart 2017 tarihinde eklendi

Arama Tarihçesi

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: CallKit arama tarihçesi güncellemeleri iCloud'a gönderiliyor

Açıklama: CallKit arama tarihçesinin iCloud'a yüklenmesinin engellenmesinde bir sorun vardı.  Bu sorun, işlem mantığı iyileştirilerek giderildi.

CVE-2017-2375: Elcomsoft

Giriş eklenme tarihi: 21 Şubat 2017

Kişiler

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir kişi kartının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Kişi kartlarının ayrıştırılmasında girdi doğrulama sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2368: Vincent Desmurs (vincedes3)

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Arabellek taşması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2017-2370: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Boşaltılan belleğin kullanılmasıyla ilgili bir sorun, bellek yönetimi iyileştirilerek giderildi.

CVE-2017-2360: Google Project Zero'dan Ian Beer

libarchive

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması, rastgele kod yürütülmesine neden olabilir

Açıklama: Arabellek taşması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-8687: Gentoo'dan Agostino Sarubbo

iPhone ile Kilit Açma

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kullanıcının bileğinde değilken Apple Watch'un kilidi açılabilir

Açıklama: Mantık sorunu, durum yönetimi iyileştirilerek giderildi.

CVE-2017-2352: raptAware Pty Ltd'den Ashley Fernandez

Giriş güncellenme tarihi: 25 Ocak 2017

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, cross-origin (çıkış noktaları arası) veri sızdırabilir

Açıklama: Prototip erişim sorunu, istisnaların işlenmesi iyileştirilerek giderildi.

CVE-2017-2350: Portswigger Web Security'den Gareth Heyes

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek, rastgele kod yürütülmesine neden olabilir

Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2017-2354: Tencent Xuanwu Lab'den (tencent.com), Trend Micro'nun Zero Day Initiative programı ile çalışan Neymar

CVE-2017-2362: Google Project Zero'dan Ivan Fratric

CVE-2017-2373: Google Project Zero'dan Ivan Fratric

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek, rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek başlatma sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2017-2355: PwnFest 2016'daki Team Pangu ve lokihardt

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek, rastgele kod yürütülmesine neden olabilir

Açıklama: Birden çok bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2356: PwnFest 2016'daki Team Pangu ve lokihardt

CVE-2017-2369: Google Project Zero'dan Ivan Fratric

CVE-2017-2366: Tencent Xuanwu Lab'den (tencent.com) Kai Kang

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, cross-origin (çıkış noktaları arası) veri sızdırabilir

Açıklama: Sayfa yüklemesinin işlenmesinde doğrulama sorunu vardı. Bu sorun, işlem mantığı iyileştirilerek giderildi.

CVE-2017-2363: Google Project Zero'dan lokihardt

CVE-2017-2364: Google Project Zero'dan lokihardt

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlı bir web sitesi, istenmeyen açılır pencerelerle karşılaşılmasına neden olabilir

Açıklama: Açılır pencereleri engellemenin işlenmesinde sorun vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2371: Google Project Zero'dan lokihardt

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, cross-origin (çıkış noktaları arası) veri sızdırabilir

Açıklama: Değişkenlerin işlenmesinde doğrulama sorunu vardı. Bu sorun doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2365: Google Project Zero'dan lokihardt

WiFi

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Etkinleştirme kilidi etkin olan bir aygıtın ana ekranı kısa bir süreliğine görüntülenebilir

Açıklama: Kullanıcı girdilerinin işlenmesinde, etkinleştirme kilidi etkin olduğunda bile aygıtın ana ekranının görüntülenebilmesine neden olan bir sorun vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2017-2351: Hemanth Joseph, Primefort Pvt. Ltd.'den Sriram (@Sri_Hxor), Mohamd Imran

Giriş güncellenme tarihi: 21 Şubat 2017

Ek teşekkür listesi

WebKit güçlendirme

Vrije Universiteit Amsterdam'daki VUSec group'tan Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos ve Cristiano Giuffrida'ya destekleri için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: