iOS 10.3'ün güvenlik içeriği hakkında
Bu belgede iOS 10.3'ün güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarını kullanarak şifreleyebilirsiniz.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
iOS 10.3
Hesaplar
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kullanıcılar kilitli ekrandan Apple Kimliğini görüntüleyebilir
Açıklama: Kilitli ekrandan iCloud kimlik doğrulama istemleri kaldırılarak bir bilgi istemi yönetimi sorunu giderildi.
CVE-2017-2397: UniApps ekibinden Suprovici Vadim, anonim bir araştırmacı
Ses
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2430: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2017-2462: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)
Carbon
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-2017-2379: Doyensec'ten John Villamil, Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
CoreGraphics
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir sonsuz yineleme sorunu giderildi.
CVE-2017-2417: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
CoreGraphics
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2444: 360 GearTeam'den Mei Wang
CoreText
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2435: Doyensec'ten John Villamil
CoreText
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2017-2450: Doyensec'ten John Villamil
CoreText
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi uygulamada servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir kaynak tükenmesi sorunu giderildi.
CVE-2017-2461: IDAoADI'dan Isaac Archambault, anonim bir araştırmacı
DataAccess
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Yanlış yazılmış e-posta adresiyle ayarlanmış bir Exchange hesabı, beklenmedik bir sunucu adresine çözümlenebilir
Açıklama: Exchange e-posta adreslerinin işlenmesinde bir giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2414: Ilya Nesterov ve Maxim Goncharov
FontParser
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2487: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
CVE-2017-2406: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
FontParser
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının ayrıştırılması uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2407: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
FontParser
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2017-2439: Doyensec'ten John Villamil
HomeKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Denetim Merkezi'nde beklenmedik şekilde Ev Denetimi görünebilir
Açıklama: Ev Denetimi'nin işlenmesinde bir durum sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2434: Hindistan'dan Suyash Narain
HTTPProtocol
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir HTTP/2 sunucusu tanımlanmayan davranışa neden olabilir
Açıklama: 1.17.0 sürümünden önceki nghttp2 sürümlerinde birden çok sorun vardı. Bu sorunlar, nghttp2'nin 1.17.0 sürümüne güncellenmesiyle giderildi.
CVE-2017-2428
ImageIO
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2416: Tencent KeenLab'den Qidan He (何淇丹, @flanker_hqd)
ImageIO
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasının görüntülenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2432: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)
ImageIO
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2467
ImageIO
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir
Açıklama: 4.0.7 sürümünden önceki LibTIFF sürümlerinde sınırların dışında okuma sorunu vardı. Bu sorun, ImageIO'daki LibTIFF'in 4.0.7 sürümüne güncellenmesiyle giderildi.
CVE-2016-3619
iTunes Store
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, iTunes ağ trafiğinde değişiklik yapabilir
Açıklama: iTunes korumalı alan web servislerine yönelik istekler açık metin olarak gönderildi. HTTPS etkinleştirilerek bu sorun giderildi.
CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)
JavaScriptCore
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2017-2491: Apple
JavaScriptCore
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web sayfasının işlenmesi siteler arası evrensel komut dosyası kullanımına neden olabilir
Açıklama: İşlem mantığı iyileştirilerek prototip sorunu giderildi.
CVE-2017-2492: Google Project Zero'dan lokihardt
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2398: Qihoo 360 Vulcan Team'den Lufeng Li
CVE-2017-2401: Qihoo 360 Vulcan Team'den Lufeng Li
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.
CVE-2017-2440: anonim bir araştırmacı
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir yarış durumu giderildi.
CVE-2017-2456: Google Project Zero'dan lokihardt
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2017-2472: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2473: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınırların denetimi iyileştirilerek "artı/eksi 1 sapma" (off-by-one) hatası giderildi.
CVE-2017-2474: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.
CVE-2017-2478: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2017-2482: Google Project Zero'dan Ian Beer
CVE-2017-2483: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama, yükseltilmiş ayrıcalıklarla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2490: Google Project Zero'dan Ian Beer, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)
Klavyeler
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2017-2458: Shashank (@cyberboyIndia)
Anahtar Zinciri
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: TLS bağlantılarını ele geçirebilen bir saldırgan, iCloud Anahtar Zinciri ile korunan gizli içerikleri okuyabilir.
Açıklama: iCloud Anahtar Zinciri belirli durumlarda OTR paketlerinin gerçekliğini doğrulayamıyordu. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2448: Longterm Security, Inc. şirketinden Alex Radocea
libarchive
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Yerel bir saldırgan, rastgele dizinlerde dosya sistemi izinlerini değiştirebilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2017-2390: enSilo Ltd'den Omer Medan
libc++abi
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir C++ uygulamasının kodunun çözülmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2017-2441
libxslt
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: libxslt'de birden çok güvenlik açığı
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-5029: Holger Fuhrmannek
Yapıştırma Alanı
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: iOS aygıtına fiziksel erişimi olan bir kişi, yapıştırma alanını okuyabilir
Açıklama: Yapıştırma alanı yalnızca donanım UID'si tarafından korunan bir anahtarla şifreleniyordu. Yapıştırma alanının donanım UID'si tarafından korunan bir anahtar ve kullanıcı parolası ile şifrelenmesi sağlanarak bu sorun giderildi.
CVE-2017-2399
Telefon
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Üçüncü taraf bir uygulama kullanıcı etkileşimi olmadan bir telefon araması başlatabilir
Açıklama: iOS'te, kullanıcıya sorulmadan aramaya izin veren bir sorun vardı. Kullanıcıdan arama başlatmayı onaylaması istenerek bu sorun giderildi.
CVE-2017-2484
Profiller
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir saldırgan DES şifreleme algoritmasındaki açıktan yararlanabilir
Açıklama: SCEP istemcisine 3DES şifreleme algoritması desteği eklendi ve DES kullanımına son verildi.
CVE-2017-2380: anonim bir araştırmacı
Göz At
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir PDF belgesindeki telefon bağlantısına dokunulması kullanıcıya sorulmadan arama yapılmasını tetikleyebilir
Açıklama: Aramaların başlatılmasından önce telefon URL'sinin kontrol edilmesinde bir sorun vardı. Bir onay istemi eklenerek bu sorun giderildi.
CVE-2017-2404: Tuan Anh Ngo (Melbourne, Avustralya), Christoph Nehring
Safari
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir
Açıklama: Hedef sayfa yüklenene kadar metin girişi devre dışı bırakılarak bir durum yönetimi sorunu giderildi.
CVE-2017-2376: Google Inc. şirketinden Michal Zalewski, anonim bir araştırmacı, Recruit Technologies Co., Ltd.'den Muneaki Nishimura (nishimunea), Google Inc. şirketinden Chris Hlady, anonim bir araştırmacı, Tencent Güvenlik Platformu Departmanı'ndan (security.tencent.com) Yuyang Zhou
Safari
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Yerel bir kullanıcı, bir kullanıcının Özel Dolaşma sırasında ziyaret etmiş olduğu web sitelerini bulabilir
Açıklama: SQLite silme işleminde sorun vardı. SQLite temizleme işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2384
Safari
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele web siteleri üzerinden kimlik doğrulama sayfaları getirebilir
Açıklama: HTTP kimlik doğrulamasının işlenmesinde sahtecilik ve servis reddi sorunu vardı. HTTP kimlik doğrulama sayfaları kalıcı olmaktan çıkarılarak bu sorun giderildi.
CVE-2017-2389: Tencent Güvenlik Müdahale Merkezi'nden (TSRC) ShenYeYinJiu
Safari
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin bir bağlantıyı tıklayarak ziyaret edilmesi, kullanıcı arabirimi sahteciliğine neden olabilir
Açıklama: FaceTime istemlerinin işlenmesinde bir sahtecilik sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2453: Tencent Xuanwu Lab'den (tencent.com) xisigr
Safari Okuyucu
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sayfasında Safari Okuyucu özelliğinin etkinleştirilmesi evrensel siteler arası betik kullanımına neden olabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek birden çok doğrulama sorunu giderildi.
CVE-2017-2393: Erling Ellingsen
SafariViewController
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kullanıcı Safari önbelleğini temizlerken Safari ile SafariViewController arasındaki önbellek durumu düzgün şekilde eşzamanlı tutulamıyor
Açıklama: Safari önbellek bilgilerinin SafariViewController'dan temizlenmesinde sorun vardı. Önbellek durumunun işlenmesi iyileştirilerek bu sorun giderildi.
CVE-2017-2400: Zscaler, Inc. şirketinden Abhinav Bansal
Korumalı Alan Profilleri
İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil
Etki: Kötü amaçlarla oluşturulmuş bir uygulama, iCloud'a giriş yapmış bir kullanıcının iCloud kullanıcı kaydına erişebilir
Açıklama: Üçüncü taraf uygulamalara yönelik ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.
CVE-2017-6976: George Dan (@theninjaprawn)
Güvenlik
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Boş imzaların SecKeyRawVerify() ile doğrulanması beklenmedik şekilde başarılı olabilir
Açıklama: Şifreleme API çağrılarında doğrulama sorunu vardı. Parametre doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2017-2423: anonim bir araştırmacı
Güvenlik
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir uygulama kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2017-2451: Longterm Security, Inc. şirketinden Alex Radocea
Güvenlik
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş x509 sertifikasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sertifikaların ayrıştırılmasında bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2485: Cisco Talos'tan Aleksandar Nikolic
Siri
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Siri, aygıt kilitliyken kısa mesaj içeriklerini açıklayabiliyordu
Açıklama: Durum yönetimi iyileştirilerek yetersiz kilitleme sorunu giderildi.
CVE-2017-2452: Hunter Byrnes
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir bağlantının sürüklenip bırakılması yer işareti sahteciliğine veya rastgele kod yürütülmesine neden olabilir
Açıklama: Yer işareti oluşturmada doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2378: Tencent Xuanwu Lab'den (tencent.com) xisigr
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.
CVE-2017-2486: light4freedom'dan redrain
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: İstisnaların işlenmesi iyileştirilerek bir prototip erişim sorunu giderildi.
CVE-2017-2386: André Bargull
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2395: Apple
CVE-2017-2454: Google Project Zero'dan Ivan Fratric, Trend Micro'nun Zero Day Initiative programında çalışan, Baidu Security Lab'den Zheng Huang
CVE-2017-2455: Google Project Zero'dan Ivan Fratric
CVE-2017-2457: Google Project Zero'dan lokihardt
CVE-2017-2459: Google Project Zero'dan Ivan Fratric
CVE-2017-2460: Google Project Zero'dan Ivan Fratric
CVE-2017-2464: Google Project Zero'dan natashenka, Jeonghoon Shin
CVE-2017-2465: Baidu Security Lab'den Zheng Huang ve Wei Yuan
CVE-2017-2466: Google Project Zero'dan Ivan Fratric
CVE-2017-2468: Google Project Zero'dan lokihardt
CVE-2017-2469: Google Project Zero'dan lokihardt
CVE-2017-2470: Google Project Zero'dan lokihardt
CVE-2017-2476: Google Project Zero'dan Ivan Fratric
CVE-2017-2481: 0011 (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2017-2415: Tencent Xuanwu Lab'den (tentcent.com) Kai Kang
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasının beklenmedik bir şekilde sonlandırılmasına neden olabilir
Açıklama: İçerik Güvenliği Politikası'nda erişim sorunu vardı. Erişim sınırlamaları iyileştirilerek bu sorun giderildi.
CVE-2017-2419: Cisco Systems'dan Nicolai Grødum
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi yüksek düzeyde bellek tüketimine neden olabilir
Açıklama: Regex (normal ifade) işlemesi iyileştirilerek bir denetimsiz kaynak tüketimi sorunu giderildi.
CVE-2016-9643: Gustavo Grieco
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: OpenGL gölgelendiricilerin işlenmesinde bilgilerin açığa çıkması sorunu vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.
CVE-2017-2424: Imperial College London'daki Multicore Programming Group'tan Paul Thomson (GLFuzz aracıyla)
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2433: Apple
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: Sayfa yüklemesinin işlenmesinde birden çok doğrulama sorunu vardı. İşlem mantığı iyileştirilerek bu sorun giderildi.
CVE-2017-2364: Google Project Zero'dan lokihardt
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir
Açıklama: Sayfa yüklemesinin işlenmesinde doğrulama sorunu vardı. İşlem mantığı iyileştirilerek bu sorun giderildi.
CVE-2017-2367: Google Project Zero'dan lokihardt
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Çerçeve nesnelerinin işlenmesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2017-2445: Google Project Zero'dan lokihardt
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Katı mod işlevlerinin işlenmesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2017-2446: Google Project Zero'dan natashenka
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi, kullanıcı bilgilerini tehlikeye atabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2447: Google Project Zero'dan natashenka
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2463: Tencent Xuanwu Lab'den (tencent.com) Kai Kang (4B5F5F4B) (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2017-2471: Google Project Zero'dan Ivan Fratric
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Çerçeve işlemesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2017-2475: Google Project Zero'dan lokihardt
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: Öğe işlemesinde doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2479: Google Project Zero'dan lokihardt
WebKit
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: Öğe işlemesinde doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2480: Google Project Zero'dan lokihardt
CVE-2017-2493: Google Project Zero'dan lokihardt
WebKit JavaScript Bağları
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: Sayfa yüklemesinin işlenmesinde birden çok doğrulama sorunu vardı. İşlem mantığı iyileştirilerek bu sorun giderildi.
CVE-2017-2442: Google Project Zero'dan lokihardt
WebKit Web Denetleyicisi
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Bir pencerenin hata ayıklayıcıda duraklatılmışken kapatılması uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2377: Vicki Pfau
WebKit Web Denetleyicisi
İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2405: Apple
Ek teşekkür listesi
XNU
Qihoo 360 Vulcan Team'den Lufeng Li'ye desteği için teşekkür ederiz.
WebKit
Secure Sky Technology Inc. şirketinden Yosuke HASEGAWA'ya desteği için teşekkür ederiz.
Safari
Flyin9'a (ZhenHui Lee) desteği için teşekkür ederiz.
Ayarlar
Skycure'dan Adi Sharabani ve Yair Amit'e desteği için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.