iOS 11.3'ün güvenlik içeriği hakkında

Bu belgede iOS 11.3'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

iOS 11.3

Yayınlanma tarihi: 29 Mart 2018

Apple TV App

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, Apple TV App'te sahte parola istemleri gönderebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2018-4177: Jerry Decime

Giriş eklenme tarihi: 13 Nisan 2018

Saat

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: iOS aygıtına fiziksel erişimi olan bir kişi iTunes için kullanılan e-posta adresini görebilir

Açıklama: Alarmların ve sayaçların işlenmesinde bilgilerin açığa çıkması sorunu vardı. Erişim sınırlamaları iyileştirilerek bu sorun giderildi.

CVE-2018-4123: Zaheen Hafzar M M (@zaheenhafzer)

CoreFoundation

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi servis reddine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2018-4142: Google Switzerland GmbH şirketinden Robin Leroy

Dosya Sistemi Etkinlikleri

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4167: Samuel Groß (@5aelo)

Dosyalar Araç Takımı

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Dosyalar Araç Takımı, kilitli bir aygıtta içerikleri görüntüleyebilir

Açıklama: Dosyalar Araç Takımı, kilitli durumdayken, önbelleğe alınmış verileri görüntülüyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2018-4168: Brandon Moore

iPhone'umu Bul

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Aygıta fiziksel erişimi olan bir kişi iCloud parolası girmeden iPhone'umu Bul seçeneğini etkisizleştirebilir

Açıklama: Yedeklemeden geri yükleme sırasında ortaya çıkan bir durum yönetimi sorunu vardı. Geri yükleme sırasında durum denetimi iyileştirilerek bu sorun giderildi.

CVE-2018-4172: Viljami Vastamäki

iCloud Drive

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4151: Samuel Groß (@5aelo)

Çekirdek

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2018-4150: anonim bir araştırmacı

Çekirdek

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4104: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Çekirdek

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2018-4143: derrek (@derrekr6)

Çekirdek

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir

Açıklama: Program durumu geçişinde bilgilerin açığa çıkması sorunu vardı. Durumun işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2018-4185: Brandon Azad

Giriş eklenme tarihi: 19 Temmuz 2018

libxml2

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi Safari'nin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-15412: Nick Wellnhofer

Giriş eklenme tarihi: 18 Ekim 2018

Mail

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, S/MIME şifreli e-postaların içeriklerini ele geçirebilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2018-4174: Integrated Mapping Ltd şirketinden John McCombs, LoonSoft Inc. şirketinden McClain Looney

Giriş güncellenme tarihi: 13 Nisan 2018

NSURLSession

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4166: Samuel Groß (@5aelo)

PluginKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4156: Samuel Groß (@5aelo)

Göz At

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4157: Samuel Groß (@5aelo)

Safari

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin bir bağlantıyı tıklayarak ziyaret edilmesi, kullanıcı arabirimi sahteciliğine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2018-4134: Tencent Xuanwu Lab'den (tencent.com) xisigr, Tencent Güvenlik Platformu Departmanı'ndan Zhiyang Zeng (@Wester)

Safari'de Oturum Açma Sırasında Otomatik Doldurma

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlarla oluşturulmuş bir web sitesi, açık bir kullanıcı etkileşimi olmadan Safari'de otomatik olarak doldurulan verileri sızdırabilir.

Açıklama: Safari'de otomatik doldurma işleminin gerçekleşmesi için açık kullanıcı etkileşimi gerekmiyordu. Otomatik doldurmayla ilgili sezgisel yöntemler iyileştirilerek bu sorun giderildi.

CVE-2018-4137

SafariViewController

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir

Açıklama: Hedef sayfa yüklenene kadar metin girişi devre dışı bırakılarak bir durum yönetimi sorunu giderildi.

CVE-2018-4149: Abhinash Jain (@abhinashjain)

Güvenlik

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

Durum Çubuğu

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlı bir uygulama, kullanıcıya bildirilmeden mikrofona erişebilir

Açıklama: Mikrofon kullanımı göstergesinin ne zaman görüntüleneceğini belirleme konusunda bir tutarsızlık sorunu vardı. Özellik doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4173: pingmd'den Joshua Pokotilow

Giriş eklenme tarihi: 9 Nisan 2018

Depolama Alanı

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4154: Samuel Groß (@5aelo)

Sistem Tercihleri

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Bir konfigürasyon profili, kaldırıldıktan sonra hatalı şekilde etkin kalabilir

Açıklama: CFPreferences'da bir sorun vardı. Tercih temizleme işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4115: Wandera'dan Johann Thalakada, Vladimir Zubkov ve Matt Vlasach

Telefon

İlgili ürünler: iPhone 5s ve sonraki modeller ile iPad Air'in WiFi + Cellular modelleri ve sonraki modeller

Etki: Uzak bir saldırgan bir aygıtın beklenmedik şekilde yeniden başlatılmasına neden olabilir

Açıklama: Sınıf 0 SMS mesajlarının işlenmesinde bir null işaretçi dereferansı sorunu vardı. Mesaj doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2018-4140: @mjonsson, Voiceworks BV şirketinden Arjan van der Oest

Giriş güncellenme tarihi: 30 Mart 2018

Telefon

İlgili ürünler: iPhone 5s ve sonraki modeller ile iPad Air'in WiFi + Cellular modelleri ve sonraki modeller

Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden fazla arabellek taşması giderildi.

CVE-2018-4148: Comsecuris UG şirketinden Nico Golde

Giriş eklenme tarihi: 30 Mart 2018

Web Uygulaması

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Çerezler, web uygulamasında beklenmedik şekilde kalıcı olabilir

Açıklama: Durum yönetimi iyileştirilerek bir çerez yönetimi sorunu giderildi.

CVE-2018-4110: Cerner Corporation'dan Ben Compton ve Jason Colley

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2018-4101: Ant-financial Light-Year Security Lab'den Yuan Deng

CVE-2018-4114: OSS-Fuzz tarafından bulundu

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4120: Qihoo 360 Vulcan Team'den Hanming Zhang (@4shitak4)

CVE-2018-4121: Google Project Zero'dan Natalie Silvanovich

CVE-2018-4122: WanderingGlitch (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4125: WanderingGlitch (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4127: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4128: Zach Markley

CVE-2018-4129: Baidu Security Lab'den likemeng (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4130: Omair (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4161: WanderingGlitch (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4162: WanderingGlitch (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4163: WanderingGlitch (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2018-4165: Qihoo 360 Vulcan Team'den Hanming Zhang (@4shitak4)

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Dizinleme türleriyle beklenmedik şekilde kurulan etkileşimler ASSERT hatasına neden oluyor

Açıklama: JavaScriptCore'daki bir işlevin işlenmesinde bir dize dizinleme sorunu vardı. Denetimler iyileştirilerek bu sorun giderildi

CVE-2018-4113: OSS-Fuzz tarafından bulundu

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi

CVE-2018-4146: OSS-Fuzz tarafından bulundu

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir

Açıklama: Fetch API'sinde kaynaklar arası bir sorun vardı. Girdi doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4117: anonim bir araştırmacı, anonim bir araştırmacı

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Beklenmeyen etkileşimler ASSERT hatasına neden oluyor

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4207: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 2 Mayıs 2018

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Beklenmeyen etkileşimler ASSERT hatasına neden oluyor

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4208: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 2 Mayıs 2018

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Beklenmeyen etkileşimler ASSERT hatasına neden oluyor

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4209: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 2 Mayıs 2018

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Dizinleme türleriyle beklenmedik şekilde kurulan etkileşimler bir hataya neden oluyordu

Açıklama: JavaScriptCore'daki bir işlevin işlenmesinde bir dize dizinleme sorunu vardı. Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4210: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 2 Mayıs 2018

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Beklenmeyen etkileşimler ASSERT hatasına neden oluyor

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4212: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 2 Mayıs 2018

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Beklenmeyen etkileşimler ASSERT hatasına neden oluyor

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4213: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 2 Mayıs 2018

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2018-4145: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 18 Ekim 2018

WindowServer

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6. nesil

Etki: Ayrıcalığı olmayan bir uygulama, güvenli giriş modu etkinleştirilmiş olsa bile diğer uygulamalara girilen tuş vuruşlarını kaydedebilir

Açıklama: Ayrıcalığı olmayan bir uygulama, tuş durumlarını tarayarak, güvenli giriş modu etkinleştirilmiş olsa bile diğer uygulamalara girilen tuş vuruşlarını kaydedebiliyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2018-4131: folivora.AI GmbH şirketinden Andreas Hegenberg

Ek teşekkür listesi

Mail

Wire Swiss GmbH şirketinden Sabri Haddouche'a (@pwnsdx) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 21 Haziran 2018

Güvenlik

Abraham Masri'ye (@cheesecakeufo) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 13 Nisan 2018

WebKit

Tinder Security Team'den Johnny Nipper'a desteği için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: