iOS 13.4 ve iPadOS 13.4'ün güvenlik içeriği hakkında
Bu belgede iOS 13.4 ve iPadOS 13.4'ün güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
iOS 13.4 ve iPadOS 13.4
Hesaplar
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9772: UC Berkeley'den Allison Husain
ActionKit
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Bir uygulama, özel çerçeveler tarafından sağlanan bir SSH istemcisini kullanabilir
Açıklama: Yeni bir yetki ile bu sorun giderildi.
CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Bir uygulama rastgele yetkiler kullanabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2020-3883: Linus Henze (pinauten.de)
Bluetooth
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, Bluetooth trafiğini ele geçirebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9770: Purdue Üniversitesindeki PurSec Lab'den Jianliang Wu, Central Florida Üniversitesinden Xinwen Fu ve Yue Zhang
CoreFoundation
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir
Açıklama: Bir izin sorunu vardı. İzin doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2020-3913: Avira Operations GmbH & Co. KG şirketinden Timo Christ
Simgeler
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Alternatif bir uygulama simgesi ayarlanması, fotoğraf erişimi gerekmeden bir fotoğrafı açığa çıkarabilir
Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.
CVE-2020-3916: Vitaliy Alekseev (@villy21)
Görüntü İşleme
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2020-3919: F-Secure Consulting'den Alex Plaskett
Çekirdek
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2020-3914: WaCai şirketinden pattern-f (@pattern_F_)
Çekirdek
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2020-9785: Qihoo 360 Nirvan Team'den Proteas
libxml2
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: libxml2'de birden çok sorun
Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2020-3910: LGTM.com
libxml2
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: libxml2'de birden çok sorun
Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2020-3909: LGTM.com
CVE-2020-3911: OSS-Fuzz tarafından bulundu
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Yerel bir kullanıcı, silinmiş içerikleri uygulama değiştiricide görüntüleyebilir
Açıklama: İçerik silindiğinde uygulama önizlemelerinin temizlenmesi sağlanarak sorun çözüldü.
CVE-2020-9780: anonim bir araştırmacı, Dimitris Chaintinis
Mail İlişikleri
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Kırpılmış videolar, Mail üzerinden düzgün bir şekilde paylaşılamayabilir
Açıklama: Mail tarafından video dosyası seçilmesinde bir sorun vardı. Videonun en son sürümünün seçilmesi sağlanarak sorun düzeltildi.
CVE-2020-9777
Mesajlar
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Kilitli bir iOS aygıtına fiziksel erişimi bulunan bir kişi, yanıtlar etkisizleştirilmiş olsa bile mesajlara yanıt verebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3891: Peter Scott
Mesaj Oluşturma
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Silinen mesaj grupları, otomatik tamamlama seçeneği olarak sunulmaya devam edebilir
Açıklama: Silme işlemi iyileştirilerek sorun giderildi.
CVE-2020-3890: anonim bir araştırmacı
Safari
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Kullanıcının özel dolaşma etkinlikleri beklenmedik bir şekilde Ekran Süresi'ne kaydedilebilir
Açıklama: Resim içinde resim özelliğiyle video görüntüleyen sekmelerin işlenmesinde bir sorun vardı. Durumun işlenmesi iyileştirilerek sorun düzeltildi.
CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com) ve STO64 School Krakow Polonya'dan Sambor Wawro
Safari
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Kullanıcı, istemeden bir siteye web sitesi izinleri verebilir
Açıklama: Dolaşma sonrasında web sitesi izin istemlerinin temizlenmesi sağlanarak sorun giderildi.
CVE-2020-9781: Payatu Labs'den (payatu.com) Nikhil Mittal (@c0d3G33k)
Korumalı Alan (Sandbox)
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Yerel bir kullanıcı hassas kullanıcı bilgilerini görüntüleyebilir
Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.
CVE-2020-3918: anonim bir araştırmacı, Outcourse Limited'den Augusto Alvarez
Web Uygulaması
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Kötü amaçlarla oluşturulmuş bir sayfa diğer web bağlamlarını olumsuz yönde etkileyebilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3888: Dappological Ltd. şirketinden Darren Jones
WebKit
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Bazı web siteleri Safari Tercihlerinde görünmüyor olabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9787: Ryan Pickren (ryanpickren.com)
WebKit
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2020-3894: Google Project Zero'dan Sergei Glazunov
WebKit
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.
CVE-2020-3899: OSS-Fuzz tarafından bulundu
WebKit
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
WebKit
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Venustech ADLab'den Dongzhuo Zhao
WebKit
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: İndirme işlemlerinin kaynağı yanlış şekilde ilişkilendirilebilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3887: Ryan Pickren (ryanpickren.com)
WebKit
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-9783: Apple
WebKit
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2020-3897: Brendan Draper (@6r3nd4n) (Trend Micro'nun Zero Day Initiative programıyla)
WebKit Sayfa Yüklemesi
İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ve iPod touch 7. nesil
Etki: Dosya URL'leri yanlış şekilde işlenebilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3885: Ryan Pickren (ryanpickren.com)
Ek teşekkür listesi
4FontParser
Google Chrome'dan Matthew Denton'a yardımı için teşekkür ederiz.
Çekirdek
Siguza'ya yardımı için teşekkür ederiz.
LinkPresentation
Travis'e yardımı için teşekkür ederiz.
Notlar
Mike DiLoreto'ya yardımı için teşekkür ederiz.
rapportd
Darmstadt Teknik Üniversitesi'nden Alexander Heinrich'e (@Sn0wfreeze) yardımı için teşekkür ederiz.
Safari Okuyucu
Payatu Labs'den (payatu.com) Nikhil Mittal'a (@c0d3G33k) yardımı için teşekkür ederiz.
Sidecar
Rick Backley'e (@rback_sec) yardımı için teşekkür ederiz.
SiriKit
Ioan Florescu ve Ki Ha Nam'e yardımları için teşekkür ederiz.
WebKit
Mozilla'dan Emilio Cobos Álvarez'e, Google Project Zero'dan Samuel Groß'a, hearmen'a yardımları için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.