iOS 13.3.1 ve iPadOS 13.3.1'in güvenlik içeriği hakkında

Bu belgede iOS 13.3.1 ve iPadOS 13.3.1'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 13.3.1 ve iPadOS 13.3.1

Yayınlanma tarihi: 28 Ocak 2020

Ses

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3857: Qihoo 360 Vulcan Team'den Zhuo Liang

FaceTime

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Uzak bir FaceTime kullanıcısı, yerel kullanıcının normalde kendini görebildiği kamera yerine yanlış bir kameranın devreye girmesine neden olabilir

Açıklama: Yerel kullanıcının kendini görebilme süreciyle ilgili bir işlenme sorunu vardı. Mantık iyileştirilerek bu sorun düzeltildi.

CVE-2020-3869: Elisa Lee

ImageIO

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3826: Google Project Zero'dan Samuel Groß

CVE-2020-3870

CVE-2020-3878: Google Project Zero'dan Samuel Groß

Giriş güncellenme tarihi: 29 Ocak 2020

IOAcceleratorFamily

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3837: Google Project Zero'dan Brandon Azad

IPSec

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçla oluşturulmuş bir racoon konfigürasyon dosyasının yüklenmesi, rastgele kod yürütmeye neden olabilir

Açıklama: Racoon konfigürasyon dosyalarının işlenmesinde bir off-by-one sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

CVE-2020-3840: @littlelailo

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2020-3875: Google Project Zero'dan Brandon Azad

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2020-3872: Cognite'tan Haakon Garseg Mørk ve Cim Stordal

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir

Açıklama: Bellek yönetimi iyileştirilerek bir erişim sorunu giderildi.

CVE-2020-3836: Google Project Zero'dan Brandon Azad

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3842: Ned Williamson (Google Project Zero ile)

CVE-2020-3858: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng, Bloomington Indiana Üniversitesinden Luyi Xing

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2020-3831: Corellium, Qihoo 360 Nirvan Team'den Proteas

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2020-3853: Google Project Zero'dan Brandon Azad

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3860: Qihoo 360 Nirvan Team'den Proteas

libxml2

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2020-3846: Ranier Vilela

Giriş eklenme tarihi: 29 Ocak 2020

libxpc

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3856: Google Project Zero'dan Ian Beer

libxpc

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3829: Google Project Zero'dan Ian Beer

Mail

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: "İletilerde bulunan indirilmemiş içerikleri yükle" seçeneği kapatıldığında bu değişiklik tüm e-posta önizlemelerine uygulanmayabilir

Açıklama: Ayarların yayılması iyileştirilerek bu sorun giderildi.

CVE-2020-3873: Darmstadt Teknik Üniversitesinden Alexander Heinrich (@Sn0wfreeze), Stuart Chapman

Giriş güncellenme tarihi: 29 Ocak 2020

Mesajlar

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: iOS aygıtına fiziksel erişimi olan bir kişi, kilitli ekrandan kişilere erişebilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2020-3859: Andrew Gonzalez, Simone PC

Giriş güncellenme tarihi: 29 Ocak 2020

Mesajlar

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir iMessage yazışmasından kaldırılan kullanıcılar, durumu değiştirmeye devam edebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-3844: Dynastic'ten Ayden Panhuyzen (@aydenpanhuyzen) ve Jamie Bishop (@jamiebishop123), Oxon Hill Lisesinden Lance Rodgers

Giriş güncellenme tarihi: 29 Ocak 2020

Telefon

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: iOS aygıtına fiziksel erişimi olan bir kişi, kilitli ekrandan kişilere erişebilir

Açıklama: Kilitli ekranla ilgili bir sorun, kilitli aygıtta kişilere erişilmesine olanak sağlıyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2020-3828: anonim bir araştırmacı

Safari'de Oturum Açma Sırasında Otomatik Doldurma

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Yerel kullanıcı farkında olmadan bir parolayı ağ üzerinden şifrelenmeden gönderebilir

Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.

CVE-2020-3841: Sec-Research'ten Sebastian Bicchi (@secresDoge)

Ekran Resimleri

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Mesajlar uygulamasında çekilen ekran resimlerinde ek mesaj içerikleri açığa çıkarılabilir

Açıklama: Ekran resimlerinin adlandırılmasında bir sorun vardı. Adlandırma iyileştirilerek bu sorun düzeltildi.

CVE-2020-3874: Durham Kolejinden Nicolas Luckie

WebKit

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlı bir web sitesi, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2020-3862: Google Chrome'dan Srikanth Gatta

Giriş eklenme tarihi: 29 Ocak 2020

WebKit

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2020-3825: Euvic'ten Przemysław Sporysz

CVE-2020-3868: Cisco Talos'tan Marcin Towalski

Giriş eklenme tarihi: 29 Ocak 2020

WebKit

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-3867: anonim bir araştırmacı

Giriş eklenme tarihi: 29 Ocak 2020

WebKit Sayfa Yüklemesi

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

Giriş eklenme tarihi: 29 Ocak 2020

wifivelocityd

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Ek teşekkür listesi

IOSurface

Liang Chen'e (@chenliang0817) yardımı için teşekkür ederiz.

Fotoğraf Saklama

UC Berkeley'den Salman Husain'e yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: