iOS 14.2 ve iPadOS 14.2'nin güvenlik içeriği hakkında

Bu belgede iOS 14.2 ve iPadOS 14.2'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 14.2 ve iPadOS 14.2

Yayınlanma tarihi: 5 Kasım 2020

Audio

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-27910: Ant Security Light-Year Lab'den JunDong Xie ve XingWei Lin

Audio

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27916: Ant Security Light-Year Lab'den JunDong Xie

CallKit

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kullanıcılar ikinci aramayı yanıtladıklarına dair herhangi bir gösterge olmaksızın aynı anda iki farklı aramayı yanıtlayabilir

Açıklama: Gelen aramaların işlenmesinde sorun vardı. Ek durum denetimleriyle bu sorun giderildi.

CVE-2020-27925: Nick Tangri

CoreAudio

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-10017: Francis (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie

CoreAudio

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch 7. nesil, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-27908: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie ve Xingwei Lin

CVE-2020-27909: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie ve Xingwei Lin

Giriş güncellenme tarihi: 16 Mart 2021

CoreGraphics

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir PDF'in işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-9897: ZecOps Mobile XDR'den S.Y. ve anonim bir araştırmacı

Giriş eklenme tarihi: 25 Ekim 2021

CoreText

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch 7. nesil, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-27922: Trend Micro'dan Mickey Jin

Giriş eklenme tarihi: 16 Mart 2021

Crash Reporter

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Sembolik bağlantıların yol doğrulama mantığında bir sorun vardı. Yol temizleme işlemi iyileştirilerek bu sorun giderildi.

CVE-2020-10003: Leviathan'dan Tim Michaud (@TimGMichaud)

FontParser

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-27930: Google Project Zero

FontParser

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27927: Ant Security Light-Year Lab'den Xingwei Lin

Foundation

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Yerel bir kullanıcı rastgele dosyaları okuyabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-10002: James Hutchins

ImageIO

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch 7. nesil, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-27924: Lei Sun

Giriş eklenme tarihi: 16 Mart 2021

ImageIO

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch 7. nesil, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27912: Ant Security Light-Year Lab'den Xingwei Lin

CVE-2020-27923: Lei Sun

Giriş güncellenme tarihi: 16 Mart 2021

IOAcceleratorFamily

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-27905: Mohamed Ghannam (@_simo36)

Kernel

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, çekirdek belleğini açığa çıkarabilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.

Açıklama: Bir bellek ilklendirme sorunu giderildi.

CVE-2020-27950: Google Project Zero

Kernel

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-10016: Alex Helie

Kernel

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.

Açıklama: Durumun işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2020-27932: Google Project Zero

Keyboard

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Bir iOS aygıtına fiziksel erişimi olan bir kişi, saklanan parolalara kimliğini doğrulamadan ulaşabilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2020-27902: Connor Ford (@connorford2)

libxml2

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch 7. nesil, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-27917: OSS-Fuzz tarafından bulundu

CVE-2020-27920: OSS-Fuzz tarafından bulundu

Giriş güncellenme tarihi: 16 Mart 2021

libxml2

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2020-27911: OSS-Fuzz tarafından bulundu

libxml2

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-27926: OSS-Fuzz tarafından bulundu

Logging

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2020-10010: Tommy Muir (@Muirey03)

Model I/O

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın açılması uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-10004: Cisco Talos'tan Aleksandar Nikolic

Model I/O

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-13524: Cisco Talos'tan Aleksandar Nikolic

Model I/O

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasını işlemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-10011: Cisco Talos'tan Aleksandar Nikolic

Symptom Framework

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-27899: ZecOps'tan 08Tc3wBB

Giriş eklenme tarihi: 15 Aralık 2020

WebKit

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch 7. nesil, iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-27918: Ant Security Light-Year Lab'den Liu Long

Giriş güncellenme tarihi: 16 Mart 2021

XNU

İlgili ürünler: iPhone 6s ve sonraki modeller, iPod touch (7. nesil), iPad Air 2 ve sonraki modeller, iPad mini 4 ve sonraki modeller

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Mantık iyileştirilerek birden fazla sorun giderildi.

CVE-2020-27935: Lior Halphon (@LIJI32)

Giriş eklenme tarihi: 15 Aralık 2020

Ek teşekkür listesi

NetworkExtension

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 15 Aralık 2020

Safari

Gabriel Corona'ya yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: