iOS 10.3'ün güvenlik içeriği hakkında

Bu belgede iOS 10.3'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarını kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

iOS 10.3

Hesaplar

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kullanıcılar kilitli ekrandan Apple Kimliğini görüntüleyebilir

Açıklama: Kilitli ekrandan iCloud kimlik doğrulama istemleri kaldırılarak bir bilgi istemi yönetimi sorunu giderildi.

CVE-2017-2397: UniApps ekibinden Suprovici Vadim, anonim bir araştırmacı

Ses

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2430: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2017-2462: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)

Carbon

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

CVE-2017-2379: Doyensec'ten John Villamil, Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

CoreGraphics

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir sonsuz yineleme sorunu giderildi.

CVE-2017-2417: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

CoreGraphics

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2444: 360 GearTeam'den Mei Wang

CoreText

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2435: Doyensec'ten John Villamil

CoreText

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2017-2450: Doyensec'ten John Villamil

CoreText

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi uygulamada servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir kaynak tükenmesi sorunu giderildi.

CVE-2017-2461: IDAoADI'dan Isaac Archambault, anonim bir araştırmacı

DataAccess

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Yanlış yazılmış e-posta adresiyle ayarlanmış bir Exchange hesabı, beklenmedik bir sunucu adresine çözümlenebilir

Açıklama: Exchange e-posta adreslerinin işlenmesinde bir giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2414: Ilya Nesterov ve Maxim Goncharov

FontParser

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2487: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

CVE-2017-2406: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

FontParser

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının ayrıştırılması uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2407: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

FontParser

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2017-2439: Doyensec'ten John Villamil

HomeKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Denetim Merkezi'nde beklenmedik şekilde Ev Denetimi görünebilir

Açıklama: Ev Denetimi'nin işlenmesinde bir durum sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2434: Hindistan'dan Suyash Narain

HTTPProtocol

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlı bir HTTP/2 sunucusu tanımlanmayan davranışa neden olabilir

Açıklama: 1.17.0 sürümünden önceki nghttp2 sürümlerinde birden çok sorun vardı. Bu sorunlar, nghttp2'nin 1.17.0 sürümüne güncellenmesiyle giderildi.

CVE-2017-2428

ImageIO

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2416: Tencent KeenLab'den Qidan He (何淇丹, @flanker_hqd)

ImageIO

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasının görüntülenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2432: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)

ImageIO

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2467

ImageIO

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: 4.0.7 sürümünden önceki LibTIFF sürümlerinde sınırların dışında okuma sorunu vardı. Bu sorun, ImageIO'daki LibTIFF'in 4.0.7 sürümüne güncellenmesiyle giderildi.

CVE-2016-3619

iTunes Store

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, iTunes ağ trafiğinde değişiklik yapabilir

Açıklama: iTunes korumalı alan web servislerine yönelik istekler açık metin olarak gönderildi. HTTPS etkinleştirilerek bu sorun giderildi.

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

JavaScriptCore

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-2491: Apple

JavaScriptCore

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web sayfasının işlenmesi siteler arası evrensel komut dosyası kullanımına neden olabilir

Açıklama: İşlem mantığı iyileştirilerek prototip sorunu giderildi.

CVE-2017-2492: Google Project Zero'dan lokihardt

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2398: Qihoo 360 Vulcan Team'den Lufeng Li

CVE-2017-2401: Qihoo 360 Vulcan Team'den Lufeng Li

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2017-2440: anonim bir araştırmacı

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlı bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir yarış durumu giderildi.

CVE-2017-2456: Google Project Zero'dan lokihardt

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-2472: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2473: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınırların denetimi iyileştirilerek "artı/eksi 1 sapma" (off-by-one) hatası giderildi.

CVE-2017-2474: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2017-2478: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-2482: Google Project Zero'dan Ian Beer

CVE-2017-2483: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama, yükseltilmiş ayrıcalıklarla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2490: Google Project Zero'dan Ian Beer, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Klavyeler

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-2458: Shashank (@cyberboyIndia)

Anahtar Zinciri

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: TLS bağlantılarını ele geçirebilen bir saldırgan, iCloud Anahtar Zinciri ile korunan gizli içerikleri okuyabilir.

Açıklama: iCloud Anahtar Zinciri belirli durumlarda OTR paketlerinin gerçekliğini doğrulayamıyordu. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2448: Longterm Security, Inc. şirketinden Alex Radocea

libarchive

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Yerel bir saldırgan, rastgele dizinlerde dosya sistemi izinlerini değiştirebilir

Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2017-2390: enSilo Ltd'den Omer Medan

libc++abi

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlı bir C++ uygulamasının kodunun çözülmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-2441

libxslt

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: libxslt'de birden çok güvenlik açığı

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-5029: Holger Fuhrmannek

Yapıştırma Alanı

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: iOS aygıtına fiziksel erişimi olan bir kişi, yapıştırma alanını okuyabilir

Açıklama: Yapıştırma alanı yalnızca donanım UID'si tarafından korunan bir anahtarla şifreleniyordu. Yapıştırma alanının donanım UID'si tarafından korunan bir anahtar ve kullanıcı parolası ile şifrelenmesi sağlanarak bu sorun giderildi.

CVE-2017-2399

Telefon

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Üçüncü taraf bir uygulama kullanıcı etkileşimi olmadan bir telefon araması başlatabilir

Açıklama: iOS'te, kullanıcıya sorulmadan aramaya izin veren bir sorun vardı. Kullanıcıdan arama başlatmayı onaylaması istenerek bu sorun giderildi.

CVE-2017-2484

Profiller

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir saldırgan DES şifreleme algoritmasındaki açıktan yararlanabilir

Açıklama: SCEP istemcisine 3DES şifreleme algoritması desteği eklendi ve DES kullanımına son verildi.

CVE-2017-2380: anonim bir araştırmacı

Göz At

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir PDF belgesindeki telefon bağlantısına dokunulması kullanıcıya sorulmadan arama yapılmasını tetikleyebilir

Açıklama: Aramaların başlatılmasından önce telefon URL'sinin kontrol edilmesinde bir sorun vardı. Bir onay istemi eklenerek bu sorun giderildi.

CVE-2017-2404: Tuan Anh Ngo (Melbourne, Avustralya), Christoph Nehring

Safari

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir

Açıklama: Hedef sayfa yüklenene kadar metin girişi devre dışı bırakılarak bir durum yönetimi sorunu giderildi.

CVE-2017-2376: Google Inc. şirketinden Michal Zalewski, anonim bir araştırmacı, Recruit Technologies Co., Ltd.'den Muneaki Nishimura (nishimunea), Google Inc. şirketinden Chris Hlady, anonim bir araştırmacı, Tencent Güvenlik Platformu Departmanı'ndan (security.tencent.com) Yuyang Zhou

Safari

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Yerel bir kullanıcı, bir kullanıcının Özel Dolaşma sırasında ziyaret etmiş olduğu web sitelerini bulabilir

Açıklama: SQLite silme işleminde sorun vardı. SQLite temizleme işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2384

Safari

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele web siteleri üzerinden kimlik doğrulama sayfaları getirebilir

Açıklama: HTTP kimlik doğrulamasının işlenmesinde sahtecilik ve servis reddi sorunu vardı. HTTP kimlik doğrulama sayfaları kalıcı olmaktan çıkarılarak bu sorun giderildi.

CVE-2017-2389: Tencent Güvenlik Müdahale Merkezi'nden (TSRC) ShenYeYinJiu

Safari

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin bir bağlantıyı tıklayarak ziyaret edilmesi, kullanıcı arabirimi sahteciliğine neden olabilir

Açıklama: FaceTime istemlerinin işlenmesinde bir sahtecilik sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2453: Tencent Xuanwu Lab'den (tencent.com) xisigr

Safari Okuyucu

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir web sayfasında Safari Okuyucu özelliğinin etkinleştirilmesi evrensel siteler arası betik kullanımına neden olabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek birden çok doğrulama sorunu giderildi.

CVE-2017-2393: Erling Ellingsen

SafariViewController

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kullanıcı Safari önbelleğini temizlerken Safari ile SafariViewController arasındaki önbellek durumu düzgün şekilde eşzamanlı tutulamıyor

Açıklama: Safari önbellek bilgilerinin SafariViewController'dan temizlenmesinde sorun vardı. Önbellek durumunun işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2017-2400: Zscaler, Inc. şirketinden Abhinav Bansal

Korumalı Alan Profilleri

İlgili ürünler: iPhone 5 ve sonraki modeller, iPad 4. nesil ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlarla oluşturulmuş bir uygulama, iCloud'a giriş yapmış bir kullanıcının iCloud kullanıcı kaydına erişebilir

Açıklama: Üçüncü taraf uygulamalara yönelik ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2017-6976: George Dan (@theninjaprawn)

Güvenlik

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Boş imzaların SecKeyRawVerify() ile doğrulanması beklenmedik şekilde başarılı olabilir

Açıklama: Şifreleme API çağrılarında doğrulama sorunu vardı. Parametre doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2017-2423: anonim bir araştırmacı

Güvenlik

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir uygulama kök ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-2451: Longterm Security, Inc. şirketinden Alex Radocea

Güvenlik

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş x509 sertifikasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sertifikaların ayrıştırılmasında bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2485: Cisco Talos'tan Aleksandar Nikolic

Siri

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Siri, aygıt kilitliyken kısa mesaj içeriklerini açıklayabiliyordu

Açıklama: Durum yönetimi iyileştirilerek yetersiz kilitleme sorunu giderildi.

CVE-2017-2452: Hunter Byrnes

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir bağlantının sürüklenip bırakılması yer işareti sahteciliğine veya rastgele kod yürütülmesine neden olabilir

Açıklama: Yer işareti oluşturmada doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2378: Tencent Xuanwu Lab'den (tencent.com) xisigr

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2017-2486: light4freedom'dan redrain

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir

Açıklama: İstisnaların işlenmesi iyileştirilerek bir prototip erişim sorunu giderildi.

CVE-2017-2386: André Bargull

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2395: Apple

CVE-2017-2454: Google Project Zero'dan Ivan Fratric, Trend Micro'nun Zero Day Initiative programında çalışan, Baidu Security Lab'den Zheng Huang

CVE-2017-2455: Google Project Zero'dan Ivan Fratric

CVE-2017-2457: Google Project Zero'dan lokihardt

CVE-2017-2459: Google Project Zero'dan Ivan Fratric

CVE-2017-2460: Google Project Zero'dan Ivan Fratric

CVE-2017-2464: Google Project Zero'dan natashenka, Jeonghoon Shin

CVE-2017-2465: Baidu Security Lab'den Zheng Huang ve Wei Yuan

CVE-2017-2466: Google Project Zero'dan Ivan Fratric

CVE-2017-2468: Google Project Zero'dan lokihardt

CVE-2017-2469: Google Project Zero'dan lokihardt

CVE-2017-2470: Google Project Zero'dan lokihardt

CVE-2017-2476: Google Project Zero'dan Ivan Fratric

CVE-2017-2481: 0011 (Trend Micro'nun Zero Day Initiative programıyla)

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2017-2415: Tencent Xuanwu Lab'den (tentcent.com) Kai Kang

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasının beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: İçerik Güvenliği Politikası'nda erişim sorunu vardı. Erişim sınırlamaları iyileştirilerek bu sorun giderildi.

CVE-2017-2419: Cisco Systems'dan Nicolai Grødum

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi yüksek düzeyde bellek tüketimine neden olabilir

Açıklama: Regex (normal ifade) işlemesi iyileştirilerek bir denetimsiz kaynak tüketimi sorunu giderildi.

CVE-2016-9643: Gustavo Grieco

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: OpenGL gölgelendiricilerin işlenmesinde bilgilerin açığa çıkması sorunu vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-2424: Imperial College London'daki Multicore Programming Group'tan Paul Thomson (GLFuzz aracıyla)

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2433: Apple

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir

Açıklama: Sayfa yüklemesinin işlenmesinde birden çok doğrulama sorunu vardı. İşlem mantığı iyileştirilerek bu sorun giderildi.

CVE-2017-2364: Google Project Zero'dan lokihardt

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir

Açıklama: Sayfa yüklemesinin işlenmesinde doğrulama sorunu vardı. İşlem mantığı iyileştirilerek bu sorun giderildi.

CVE-2017-2367: Google Project Zero'dan lokihardt

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Çerçeve nesnelerinin işlenmesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-2445: Google Project Zero'dan lokihardt

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Katı mod işlevlerinin işlenmesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-2446: Google Project Zero'dan natashenka

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi, kullanıcı bilgilerini tehlikeye atabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2447: Google Project Zero'dan natashenka

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2463: Tencent Xuanwu Lab'den (tencent.com) Kai Kang (4B5F5F4B) (Trend Micro'nun Zero Day Initiative programıyla)

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-2471: Google Project Zero'dan Ivan Fratric

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Çerçeve işlemesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-2475: Google Project Zero'dan lokihardt

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir

Açıklama: Öğe işlemesinde doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2479: Google Project Zero'dan lokihardt

WebKit

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir

Açıklama: Öğe işlemesinde doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2480: Google Project Zero'dan lokihardt

CVE-2017-2493: Google Project Zero'dan lokihardt

WebKit JavaScript Bağları

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir

Açıklama: Sayfa yüklemesinin işlenmesinde birden çok doğrulama sorunu vardı. İşlem mantığı iyileştirilerek bu sorun giderildi.

CVE-2017-2442: Google Project Zero'dan lokihardt

WebKit Web Denetleyicisi

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Bir pencerenin hata ayıklayıcıda duraklatılmışken kapatılması uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2377: Vicki Pfau

WebKit Web Denetleyicisi

İlgili ürünler: iPhone 5 ve sonraki modelleri, iPad 4. nesil ve sonraki modelleri, iPod touch 6. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2405: Apple

Ek teşekkür listesi

XNU

Qihoo 360 Vulcan Team'den Lufeng Li'ye desteği için teşekkür ederiz.

WebKit

Secure Sky Technology Inc. şirketinden Yosuke HASEGAWA'ya desteği için teşekkür ederiz.

Safari

Flyin9'a (ZhenHui Lee) desteği için teşekkür ederiz.

Ayarlar

Skycure'dan Adi Sharabani ve Yair Amit'e desteği için teşekkür ederiz.