iOS 13.3.1 ve iPadOS 13.3.1'in güvenlik içeriği hakkında

Bu belgede iOS 13.3.1 ve iPadOS 13.3.1'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 13.3.1 ve iPadOS 13.3.1

Yayınlanma tarihi: 28 Ocak 2020

Audio

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3857: Qihoo 360 Vulcan Team'den Zhuo Liang

FaceTime

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Uzaktaki bir FaceTime kullanıcısı, yerel kullanıcının normalde kendini görebildiği kamera yerine yanlış bir kameranın devreye girmesine neden olabilir

Açıklama: Yerel kullanıcının kendini görebilme süreciyle ilgili bir işlenme sorunu vardı. Mantık iyileştirilerek bu sorun düzeltildi.

CVE-2020-3869: Elisa Lee

files

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2020-3855: Csaba Fitzl (@theevilbit)

Giriş eklenme tarihi: 19 Ocak 2022

ImageIO

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3826: Google Project Zero'dan Samuel Groß

CVE-2020-3870

CVE-2020-3878: Google Project Zero'dan Samuel Groß

CVE-2020-3880: Google Project Zero'dan Samuel Groß

Giriş güncellenme tarihi: 4 Nisan 2020

IOAcceleratorFamily

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3837: Google Project Zero'dan Brandon Azad

IOUSBDeviceFamily

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8836: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng, Bloomington Indiana Üniversitesinden Luyi Xing

Giriş eklenme tarihi: 22 Haziran 2020

IPSec

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Kötü amaçla oluşturulmuş bir racoon konfigürasyon dosyasının yüklenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Racoon konfigürasyon dosyalarının işlenmesinde bir "artı/eksi 1 sapma" (off-by-one) sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

CVE-2020-3840: @littlelailo

Kernel

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2020-3875: Google Project Zero'dan Brandon Azad

Kernel

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2020-3872: Cognite'tan Haakon Garseg Mørk ve Cim Stordal

Kernel

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

Açıklama: Bellek yönetimi iyileştirilerek bir erişim sorunu giderildi.

CVE-2020-3836: Google Project Zero'dan Brandon Azad

Kernel

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3842: Ned Williamson (Google Project Zero ile)

CVE-2020-3858: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng, Bloomington Indiana Üniversitesinden Luyi Xing

Kernel

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2020-3831: Zimperium zLabs'ten Chilik Tamir, Corellium, Qihoo 360 Nirvan Team'den Proteas

Giriş güncellenme tarihi: 19 Mart 2020

Kernel

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2020-3853: Google Project Zero'dan Brandon Azad

Kernel

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3860: Qihoo 360 Nirvan Team'den Proteas

libxml2

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2020-3846: Ranier Vilela

Giriş eklenme tarihi: 29 Ocak 2020

libxpc

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3856: Google Project Zero'dan Ian Beer

libxpc

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3829: Google Project Zero'dan Ian Beer

Mail

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: "İletilerde bulunan indirilmemiş içerikleri yükle" seçeneği kapatıldığında bu değişiklik tüm e-posta önizlemelerine uygulanmayabilir

Açıklama: Ayarların yayılması iyileştirilerek bu sorun giderildi.

CVE-2020-3873: Darmstadt Teknik Üniversitesi'nden Alexander Heinrich (@Sn0wfreeze), Bridgeable'dan Hudson Pridham, Stuart Chapman

Giriş güncellenme tarihi: 19 Mart 2020

Messages

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: iOS aygıtına fiziksel erişimi olan bir kişi, kilitli ekrandan kişilere erişebilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2020-3859: Andrew Gonzalez, Simone PC

Giriş güncellenme tarihi: 29 Ocak 2020

Messages

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Bir iMessage yazışmasından kaldırılan kullanıcılar, durumu değiştirmeye devam edebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-3844: Dynastic'ten Ayden Panhuyzen (@aydenpanhuyzen) ve Jamie Bishop (@jamiebishop123), Oxon Hill Lisesi'nden Lance Rodgers

Giriş güncellenme tarihi: 29 Ocak 2020

Phone

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: iOS aygıtına fiziksel erişimi olan bir kişi, kilitli ekrandan kişilere erişebilir

Açıklama: Kilitli ekranla ilgili bir sorun, kilitli aygıtta kişilere erişilmesine olanak sağlıyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2020-3828: anonim bir araştırmacı

Safari Login AutoFill

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Yerel kullanıcı farkında olmadan bir parolayı ağ üzerinden şifrelenmeden gönderebilir

Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.

CVE-2020-3841: Sec-Research'ten Sebastian Bicchi (@secresDoge)

Screenshots

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Mesajlar uygulamasında çekilen ekran resimlerinde ek mesaj içerikleri açığa çıkarılabilir

Açıklama: Ekran resimlerinin adlandırılmasında bir sorun vardı. Adlandırma iyileştirilerek bu sorun düzeltildi.

CVE-2020-3874: Durham Koleji'nden Nicolas Luckie

WebKit

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Kötü amaçlı bir web sitesi, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2020-3862: Google Chrome'dan Srikanth Gatta

Giriş eklenme tarihi: 29 Ocak 2020

WebKit

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2020-3825: Euvic'ten Przemysław Sporysz

CVE-2020-3868: Cisco Talos'tan Marcin Towalski

Giriş eklenme tarihi: 29 Ocak 2020

WebKit

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-3867: anonim bir araştırmacı

Giriş eklenme tarihi: 29 Ocak 2020

WebKit Page Loading

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: DOM nesnesine ait bağlam benzersiz bir güvenlik kaynağına sahip olmamış olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-3864: Ryan Pickren (ryanpickren.com)

Giriş eklenme tarihi: 6 Şubat 2020

WebKit Page Loading

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Üst düzey bir DOM nesnesine ait bağlam yanlış biçimde güvenli olarak değerlendirilebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

Giriş eklenme tarihi: 29 Ocak 2020, giriş güncellenme tarihi: 6 Şubat 2020

Wi-Fi

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Uzaktaki bir saldırgan, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği bozabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3843: Google Project Zero'dan Ian Beer

Giriş eklenme tarihi: 6 Şubat 2020

wifivelocityd

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch (7. nesil)

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Ek teşekkür listesi

IOSurface

Liang Chen'e (@chenliang0817) yardımı için teşekkür ederiz.

Photos Storage

UC Berkeley'den Allison Husain'e yardımı için teşekkür ederiz.

Giriş güncellenme tarihi: 19 Mart 2020

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: