Bu makale arşivlendi ve artık Apple tarafından güncellenmiyor.

iPhone v2.0 ve iPod touch v2.0'ın güvenlik içeriği hakkında

Bu belgede, iPhone v2.0 ve iPod touch v2.0'ın güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

iPhone v2.0 ve iPod touch v2.0

  • CFNetwork

    CVE-ID: CVE-2008-0050

    İlgili ürünler: iPhone v1.0 - v1.1.4, iPod touch v1.1 - v1.1.4

    Etki: Kötü amaçlı bir proxy sunucu, güvenli web sitelerini taklit edebilir

    Açıklama: Kötü amaçlı bir HTTPS proxy sunucu, 502 Bad Gateway hatasında CFNetwork'e rastgele veriler döndürebilir, bu da güvenli bir web sitesinin taklit edilmesine olanak tanıyabilir. Bu güncelleme, bir hata durumunda proxy'nin sağladığı verileri döndürmeyerek sorunu giderir.

  • Kernel

    CVE-ID: CVE-2008-0177

    İlgili ürünler: iPhone v1.0 - v1.1.4, iPod touch v1.1 - v1.1.4

    Etki: Uzaktaki bir saldırgan, aygıtın beklenmedik şekilde sıfırlanmasına neden olabilir

    Açıklama: IPComp başlığına sahip paketlerin işlenmesinde algılanmayan bir arıza durumu mevcut. Kötü amaçlarla oluşturulmuş bir paketin IPSec veya IPv6 kullanacak şekilde yapılandırılmış bir sisteme gönderilmesi, aygıtın beklenmedik şekilde sıfırlanmasına neden olabilir. Bu güncelleme, arıza durumunu doğru şekilde algılayarak sorunu giderir.

  • Safari

    CVE-ID: CVE-2008-1588

    İlgili ürünler: iPhone v1.0 - v1.1.4, iPod touch v1.1 - v1.1.4

    Etki: Unicode ideografik alanları bir web sitesini taklit etmek için kullanılabilir

    Açıklama: Safari geçerli URL'yi adres çubuğunda gösterirken Unicode ideografik alanları işlenir. Bu da, kötü amaçlarla oluşturulan bir web sitesinin kullanıcıyı, meşru bir etki alanı gibi görünen sahte bir siteye yönlendirmesine olanak tanır. Bu güncelleme, adres çubuğunda Unicode ideografik alanlarını işlemeyerek sorunu giderir.

  • Safari

    CVE-ID: CVE-2008-1589

    İlgili ürünler: iPhone v1.0 - v1.1.4, iPod touch v1.1 - v1.1.4

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek hassas bilgilerin açığa çıkmasına neden olabilir

    Açıklama: Safari, kendinden imzalı veya geçersiz bir sertifika kullanan bir web sitesine eriştiğinde kullanıcıdan sertifikayı kabul etmesini ya da reddetmesini ister. Kullanıcı gösterilen istemde menü düğmesine basarsa siteyi bir sonraki ziyaret ettiğinde sertifika istem sunulmadan kabul edilir. Bu durum, hassas bilgilerin açığa çıkmasına neden olabilir. Bu güncelleme, sertifikaların işlenmesini iyileştirerek sorunu giderir. Bu sorunu bildirdiği için Hiromitsu Takagi'ye teşekkür ederiz.

  • Safari

    CVE-ID: CVE-2008-2303

    İlgili ürünler: iPhone v1.0 - v1.1.4, iPod touch v1.1 - v1.1.4

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Safari'nin JavaScript dizisi işaretlerini işlemesindeki bir imzalanmış olma sorunu sınırların dışında bellek erişimiyle sonuçlanabilir. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, JavaScript dizisi işaretleri için ek doğrulama gerçekleştirerek sorunu giderir. Bu sorunu bildirdiği için Google'dan SkyLined'a teşekkür ederiz.

  • Safari

    CVE-ID: CVE-2006-2783

    İlgili ürünler: iPhone v1.0 - v1.1.4, iPod touch v1.1 - v1.1.4

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek siteler arası betik kullanımına neden olabilir

    Açıklama: Safari, web sayfalarını ayrıştırırken Unicode bayt sırası işareti dizilerini yok sayar. Belirli web siteleri ve web içeriği filtreleri, belirli HTML etiketlerini engelleyerek girişi temizlemeye çalışır. Bayt sırası işareti dizileri içeren kötü amaçlarla oluşturulmuş HTML etiketleriyle karşılaşıldığında bu filtreleme yaklaşımı atlanabilir ve siteler arası betik kullanımına neden olabilir. Bu güncelleme, bayt sırası işareti dizilerinin işlenmesini iyileştirerek sorunu giderir. Bu sorunu bildirdiği için Casaba Security, LLC şirketinden Chris Weber'a teşekkür ederiz.

  • Safari

    CVE-ID: CVE-2008-2307

    İlgili ürünler: iPhone v1.0 - v1.1.4, iPod touch v1.1 - v1.1.4

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'in JavaScript dizilerini işlemesinde bir bellek bozulması sorunu vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Bu sorunu bildirdiği için James Urquhart'a teşekkür ederiz.

  • Safari

    CVE-ID: CVE-2008-2317

    İlgili ürünler: iPhone v1.0 - v1.1.4, iPod touch v1.1 - v1.1.4

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebCore'un stil sayfası öğelerini işlemesinde bir bellek bozulması sorunu vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, kötü girdilerin toplanmasını iyileştirerek sorunu giderir. Bu sorunu bildirdiği için TippingPoint Zero Day Initiative programıyla çalışan anonim bir araştırmacıya teşekkür ederiz.

  • Safari

    CVE-ID: CVE-2007-6284

    İlgili ürünler: iPhone v1.0 - v1.1.4, iPod touch v1.1 - v1.1.4

    Etki: Bir XML belgesinin işlenmesi servis reddine neden olabilir

    Açıklama: Geçersiz UTF-8 dizileri içeren XML belgelerinin işlenmesinde, servis reddine neden olabilen bir bellek tüketimi sorunu vardır. Bu güncelleme, libxml2 sistem kitaplığını 2.6.16 sürümüne güncelleyerek sorunu giderir.

  • Safari

    CVE-ID: CVE-2008-1767

    İlgili ürünler: iPhone v1.0 - v1.1.4, iPod touch v1.1 - v1.1.4

    Etki: Bir XML belgesinin işlenmesi, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: libxslt kitaplığında bir bellek bozulması sorunu vardır. Kötü amaçlarla oluşturulmuş bir HTML sayfasını görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Uygulanan yama ile ilgili daha fazla bilgi xmlsoft.org web sitesinde mevcuttur http://xmlsoft.org/XSLT/ Bu sorunu bildirdikleri için Outpost24 AB'den Anthony de Almeida Lopes'e ve Google Security Team'den Chris Evans'a teşekkür ederiz.

  • WebKit

    CVE-ID: CVE-2008-1590

    İlgili ürünler: iPhone v1.0 - v1.1.4, iPod touch v1.1 - v1.1.4

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: JavaScriptCore'un çalışma zamanı kötü girdilerinin toplanmasını işlemesinde bir bellek bozulması sorunu vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, kötü girdilerin toplanmasını iyileştirerek sorunu giderir. Bu sorunu bildirdikleri için Radware'den Itzik Kotler ve Jonathan Rom'a teşekkür ederiz.

  • WebKit

    CVE-ID: CVE-2008-1025

    İlgili ürünler: iPhone v1.0 - v1.1.4, iPod touch v1.1 - v1.1.4

    Etki: Kötü amaçlarla oluşturulmuş bir URL'ye erişmek siteler arası betik kullanımına yol açabilir

    Açıklama: WebKit'in ana makine adında iki nokta karakteri içeren URL'leri işlemesinde bir sorun vardır. Kötü amaçlarla oluşturulmuş bir URL'ye erişmek, siteler arası betik saldırısına neden olabilir. Bu güncelleme, URL'lerin işlenmesini iyileştirerek sorunu giderir. Bu sorunu bildirdikleri için David Bloom'a ve Google Security Team'den Robert Swiecki'ye teşekkür ederiz.

  • WebKit

    CVE-ID: CVE-2008-1026

    İlgili ürünler: iPhone v1.0 - v1.1.4, iPod touch v1.1 - v1.1.4

    Etki: Kötü amaçlarla oluşturulmuş bir web sayfasını görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'in JavaScript kurallı ifadelerini işlemesinde bir yığın arabellek taşması vardır. Büyük, iç içe yineleme sayımlarına sahip olan kurallı ifadeler işlenirken sorun, JavaScript aracılığıyla tetiklenebilir. Bu, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, JavaScript'in kurallı ifadeleri için ek doğrulama gerçekleştirerek sorunu giderir. Bu sorunu bildirdiği için Independent Security Evaluators'tan Charlie Miller'a teşekkür ederiz.

Önemli: Üçüncü taraf web siteleri ve ürünlerinden yalnızca bilgi vermek amacıyla bahsedilmektedir ve bu herhangi bir onay veya öneri niteliği taşımaz. Apple, üçüncü taraf web sitelerinde bulunan ürünlerin seçilmesi, performansı veya kullanılması ya da bu sitelerde yer alan bilgilerin kullanılması konusunda hiçbir sorumluluk kabul etmez. Apple, bu bilgileri yalnızca kullanıcılarına kolaylık sağlamak amacıyla sunmaktadır. Apple, bu sitelerde bulunan bilgileri test etmemiştir ve bunların doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. İnternette bulunan herhangi bir bilgi veya ürünün kullanılması çeşitli riskler içerir ve Apple bu konuda hiçbir sorumluluk üstlenmez. Lütfen üçüncü taraf web sitelerinin Apple'dan bağımsız olduğunu ve Apple'ın bu sitelerdeki içerik üzerinde hiçbir denetimi olmadığını unutmayın. Ek bilgi için lütfen tedarikçiyle irtibata geçin.

Yayın Tarihi: