iOS 12.4'ün güvenlik içeriği hakkında

Bu belgede iOS 12.4'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 12.4

Yayınlanma tarihi: 22 Temmuz 2019

Core Data

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8646: Google Project Zero'dan Natalie Silvanovich

Core Data

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2019-8647: Google Project Zero'dan Samuel Groß ve Natalie Silvanovich

Core Data

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8660: Google Project Zero'dan Samuel Groß ve Natalie Silvanovich

FaceTime

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8648: Team Pangu'dan Tao Huang ve Tielei Wang

Found in Apps

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2019-8663: Google Project Zero'dan Natalie Silvanovich

Foundation

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8641: Google Project Zero'dan Samuel Groß ve Natalie Silvanovich

Heimdal

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Samba'da saldırganların, hizmetler arasındaki iletişimi ele geçirerek yetkisiz işlemler gerçekleştirmesine izin verebilen bir sorun vardı

Açıklama: Yetkisiz işlemlerin önlenmesine yönelik denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-16860: Samba Ekibi ve Catalyst'ten Isaac Boukris ve Andrew Bartlett

libxslt

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Uzaktaki bir saldırgan, hassas bilgileri görebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek yığın taşması sorunu giderildi.

CVE-2019-13118: OSS-Fuzz tarafından bulundu

Mesajlar

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2019-8665: XYZ Marketing'den Michael Hernandez

Profiller

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, web sitelerine erişimi kısıtlayabilir

Açıklama: Yetki doğrulamasında bir doğrulama sorunu vardı. İşlem yetkisi doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2019-8698: North Carolina Devlet Üniversitesi'nden Luke Deshotels, Jordan Beichler ve William Enck; Bükreş Politeknik Üniversitesi'nden Costin Carabaș and Răzvan Deaconescu

Göz At

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Bir saldırgan, güvenilir olmayan bir NSDictionary'yi seri durumdan çıkartarak bir uygulamada boşaltılan belleğin kullanılmasını tetikleyebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2019-8662: Google Project Zero'dan Natalie Silvanovich ve Samuel Groß

Siri

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8646: Google Project Zero'dan Natalie Silvanovich

Telefon

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Bir telefon aramasını başlatan kişi, alıcının eşzamanlı bir Walkie-Talkie bağlantısını yanıtlamasına neden olabilir

Açıklama: Telefon aramalarının yanıtlamasında bir mantık sorunu vardı. Durum yönetimi iyileştirilerek sorun giderildi.

CVE-2019-8699: Marius Alexandru Boeru (@mboeru) ve anonim bir araştırmacı

Giriş güncellenme tarihi: 25 Temmuz 2019

UIFoundation

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir Office belgesinin ayrıştırılması, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8657: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)

Wallet

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Bir kullanıcı, kilitli ekrandayken yanlışlıkla uygulama içi satın alma işlemi gerçekleştirebilir

Açıklama: Kullanıcı arabirimi işlenmesi iyileştirilerek sorun giderildi.

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Belge yüklemelerinin işlenmesinde bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2019-8690: Google Project Zero'dan Sergei Glazunov

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Eşzamanlı sayfa yüklemelerinin işlenmesinde bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2019-8649: Google Project Zero'dan Sergei Glazunov

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2019-8658: akayn (Trend Micro'nun Zero Day Initiative programıyla)

WebKit

İlgili ürünler: iPhone 5s ve sonraki modeller, iPad Air ve sonraki modeller, iPod touch 6 nesil ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2019-8644: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8666: Qihoo 360 Technology Co. Ltd. şirketinin Chengdu Güvenlik Müdahale Merkezi'nden Zongming Wang (王宗明) ve Zhe Jin (金哲).

CVE-2019-8669: akayn (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8671: Apple

CVE-2019-8672: Google Project Zero'dan Samuel Groß

CVE-2019-8673: Georgia Tech'teki SSLab'den Soyeon Park ve Wen Xu

CVE-2019-8676: Georgia Tech'teki SSLab'den Soyeon Park ve Wen Xu

CVE-2019-8677: Tencent KeenLab'den Jihui Lu

CVE-2019-8678: Knownsec'ten Anthony Lai (@darkfloyd1014), VXRL'den Ken Wong (@wwkenwong), Theori'den Jeonghoon Shin (@singi21a), VX Browser Exploitation Group'tan Johnny Yu (@straight_blast), VX Browser Exploitation Group'tan Chris Chan (@dr4g0nfl4me), VX Browser Exploitation Group'tan Phil Mok (@shadyhamsters), Knownsec'ten Alan Ho (@alan_h0), VX Browser Exploitation'dan Byron Wai, Venustech ADLab'den P1umer

CVE-2019-8679: Tencent KeenLab'den Jihui Lu

CVE-2019-8680: Tencent KeenLab'den Jihui Lu

CVE-2019-8681: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8683: Google Project Zero'dan lokihardt

CVE-2019-8684: Google Project Zero'dan lokihardt

CVE-2019-8685: akayn, Venustech ADLab ile çalışan Dongzhuo Zhao, VXRL'den Ken Wong (@wwkenwong), VXRL'den Anthony Lai (@darkfloyd1014) ve VXRL'den Eric Lung (@Khlung1)

CVE-2019-8686: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8687: Apple

CVE-2019-8688: Georgia Tech'teki SSLab'den Insu Yun

CVE-2019-8689: Google Project Zero'dan lokihardt

Giriş güncellenme tarihi: 25 Temmuz 2019

Ek teşekkür listesi

Game Center

Alibaba Inc. şirketinden Min (Spark) Zheng ve Xiaolong Bai'ye yardımları için teşekkür ederiz.

MobileInstallation

Dany Lisiansky'ye (@DanyL931) yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: