iOS 13.3.1 ve iPadOS 13.3.1'in güvenlik içeriği

iOS 13.3.1 ve iPadOS 13.3.1

Yayınlanma tarihi: 28 Ocak 2020

Ses

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3857: Qihoo 360 Vulcan Team'den Zhuo Liang

FaceTime

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Uzak bir FaceTime kullanıcısı, yerel kullanıcının normalde kendini görebildiği kamera yerine yanlış bir kameranın devreye girmesine neden olabilir

Açıklama: Yerel kullanıcının kendini görebilme süreciyle ilgili bir işlenme sorunu vardı. Mantık iyileştirilerek bu sorun düzeltildi.

CVE-2020-3869: Elisa Lee

ImageIO

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3826: Google Project Zero'dan Samuel Groß

CVE-2020-3870

CVE-2020-3878: Google Project Zero'dan Samuel Groß

Giriş güncellenme tarihi: 29 Ocak 2020

IOAcceleratorFamily

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3837: Google Project Zero'dan Brandon Azad

IPSec

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçla oluşturulmuş bir racoon konfigürasyon dosyasının yüklenmesi, rastgele kod yürütmeye neden olabilir

Açıklama: Racoon konfigürasyon dosyalarının işlenmesinde bir off-by-one sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

CVE-2020-3840: @littlelailo

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2020-3875: Google Project Zero'dan Brandon Azad

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2020-3872: Cognite'tan Haakon Garseg Mørk ve Cim Stordal

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir

Açıklama: Bellek yönetimi iyileştirilerek bir erişim sorunu giderildi.

CVE-2020-3836: Google Project Zero'dan Brandon Azad

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3842: Ned Williamson (Google Project Zero ile)

CVE-2020-3858: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng, Bloomington Indiana Üniversitesinden Luyi Xing

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2020-3831: Corellium, Qihoo 360 Nirvan Team'den Proteas

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2020-3853: Google Project Zero'dan Brandon Azad

Çekirdek

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3860: Qihoo 360 Nirvan Team'den Proteas

libxml2

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2020-3846: Ranier Vilela

Giriş eklenme tarihi: 29 Ocak 2020

libxpc

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3856: Google Project Zero'dan Ian Beer

libxpc

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3829: Google Project Zero'dan Ian Beer

Mail

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: "İletilerde bulunan indirilmemiş içerikleri yükle" seçeneği kapatıldığında bu değişiklik tüm e-posta önizlemelerine uygulanmayabilir

Açıklama: Ayarların yayılması iyileştirilerek bu sorun giderildi.

CVE-2020-3873: Darmstadt Teknik Üniversitesinden Alexander Heinrich (@Sn0wfreeze), Stuart Chapman

Giriş güncellenme tarihi: 29 Ocak 2020

Mesajlar

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: iOS aygıtına fiziksel erişimi olan bir kişi, kilitli ekrandan kişilere erişebilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2020-3859: Andrew Gonzalez, Simone PC

Giriş güncellenme tarihi: 29 Ocak 2020

Mesajlar

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir iMessage yazışmasından kaldırılan kullanıcılar, durumu değiştirmeye devam edebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-3844: Dynastic'ten Ayden Panhuyzen (@aydenpanhuyzen) ve Jamie Bishop (@jamiebishop123), Oxon Hill Lisesinden Lance Rodgers

Giriş güncellenme tarihi: 29 Ocak 2020

Telefon

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: iOS aygıtına fiziksel erişimi olan bir kişi, kilitli ekrandan kişilere erişebilir

Açıklama: Kilitli ekranla ilgili bir sorun, kilitli aygıtta kişilere erişilmesine olanak sağlıyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2020-3828: anonim bir araştırmacı

Safari'de Oturum Açma Sırasında Otomatik Doldurma

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Yerel kullanıcı farkında olmadan bir parolayı ağ üzerinden şifrelenmeden gönderebilir

Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.

CVE-2020-3841: Sec-Research'ten Sebastian Bicchi (@secresDoge)

Ekran Resimleri

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Mesajlar uygulamasında çekilen ekran resimlerinde ek mesaj içerikleri açığa çıkarılabilir

Açıklama: Ekran resimlerinin adlandırılmasında bir sorun vardı. Adlandırma iyileştirilerek bu sorun düzeltildi.

CVE-2020-3874: Durham Kolejinden Nicolas Luckie

WebKit

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlı bir web sitesi, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2020-3862: Google Chrome'dan Srikanth Gatta

Giriş eklenme tarihi: 29 Ocak 2020

WebKit

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2020-3825: Euvic'ten Przemysław Sporysz

CVE-2020-3868: Cisco Talos'tan Marcin Towalski

Giriş eklenme tarihi: 29 Ocak 2020

WebKit

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-3867: anonim bir araştırmacı

Giriş eklenme tarihi: 29 Ocak 2020

WebKit Sayfa Yüklemesi

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

Giriş eklenme tarihi: 29 Ocak 2020

wifivelocityd

İlgili ürünler: iPhone 6s ve sonraki modelleri, iPad Air 2 ve sonraki modelleri, iPad mini 4 ve sonraki modelleri ile iPod touch 7. nesil

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)