iOS 17.5 ve iPadOS 17.5'in güvenlik içeriği hakkında

Bu belgede iOS 17.5 ve iPadOS 17.5'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz ya da onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 17.5 ve iPadOS 17.5

Yayınlanma tarihi: 13 Mayıs 2024

Apple Neural Engine

Apple Neural Engine içeren ilgili ürünler: iPhone XS ve sonraki modeller, iPad Pro 13 inç, iPad Pro 12,9 inç 3. nesil ve sonraki modeller, iPad Pro 11 inç 1. nesil ve sonraki modeller, iPad Air 3. nesil ve sonraki modeller, iPad 8. nesil ve sonraki modeller, iPad mini 5. nesil ve sonraki modeller

Etki: Yerel bir saldırgan, sistemin beklenmedik şekilde kapanmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-27826: Minghao Lin ve Baidu Security'den Ye Zhang (@VAR10CK)

Giriş eklenme tarihi: 29 Temmuz 2024

AppleAVD

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Bir uygulama sistemin beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Giriş güncellenme tarihi: 15 Mayıs 2024

AppleMobileFileIntegrity

Etki: Bir saldırgan, kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-27816: Mickey Jin (@patch1t)

AVEVideoEncoder

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-27841: anonim bir araştırmacı

Core Data

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ortam değişkenlerini doğrulama işlemi iyileştirilerek bir sorun giderildi.

CVE-2024-27805: Kirin (@Pwnrin) ve 小来来 (@Smi1eSEC)

Giriş eklenme tarihi: 10 Haziran 2024

CoreMedia

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27817: Ant Security Light-Year Lab'den pattern-f (@pattern_F_)

Giriş eklenme tarihi: 10 Haziran 2024

CoreMedia

Etki: Bir dosyanın işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2024-27831: CrowdStrike Counter Adversary Operations'tan Amir Bazine ve Karsten König

Giriş eklenme tarihi: 10 Haziran 2024

Disk Images

Etki: Bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27832: anonim bir araştırmacı

Giriş eklenme tarihi: 10 Haziran 2024

Find My

Etki: Kötü amaçlı Bir uygulama, kullanıcının mevcut konumunu belirleyebilir

Açıklama: Hassas veriler daha güvenli bir konuma taşınarak bir gizlilik sorunu giderildi.

CVE-2024-27839: Alexander Heinrich, SEEMOO, TU Darmstadt (@Sn0wfreeze) ve Shai Mishali (@freak4pc)

Foundation

Etki: Bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27801: CertiK SkyFall Ekibi

Giriş eklenme tarihi: 10 Haziran 2024

ImageIO

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27836: Junsung Lee (Trend Micro Zero Day Initiative programıyla)

Giriş eklenme tarihi: 10 Haziran 2024

IOSurface

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-27828: STAR Labs SG Pte. Ltd. şirketinden Pan ZhenPeng (@Peterpan0927)

Giriş eklenme tarihi: 10 Haziran 2024

Kernel

Etki: Bir saldırgan, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-27818: Ant Security Light-Year Lab'den pattern-f (@pattern_F_)

Kernel

Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği korumalarını atlayabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-27840: anonim bir araştırmacı

Giriş eklenme tarihi: 10 Haziran 2024

Kernel

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2024-27815: anonim bir araştırmacı ve MIT CSAIL'den Joseph Ravichandran (@0xjprx)

Giriş eklenme tarihi: 10 Haziran 2024

Kernel

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, sahte ağ paketleri gönderebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2024-27823: Bar-Ilan Üniversitesi'nden Prof. Benny Pinkas, İbrani Üniversitesi'nden Prof. Amit Klein ve EP

Giriş eklenme tarihi: 29 Temmuz 2024

libiconv

Etki: Bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27811: Nick Wellnhofer

Giriş eklenme tarihi: 10 Haziran 2024

Libsystem

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Savunmasız kod kaldırılarak ve yeni denetimler eklenerek bir izin sorunu giderildi.

CVE-2023-42893: anonim bir araştırmacı

Mail

Etki: Fiziksel erişime sahip bir saldırgan, Mail hesabı kimlik bilgilerini sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2024-23251: Gil Pedersen

Giriş eklenme tarihi: 10 Haziran 2024

Mail

Etki: Kötü amaçla oluşturulmuş bir e-posta, kullanıcı yetkilendirmesi olmadan FaceTime aramaları başlatabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Giriş eklenme tarihi: 10 Haziran 2024

Maps

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2024-27810: Fudan Üniversitesi'nden LFY@secsys

MarketplaceKit

İlgili ürünler: iPhone XS ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir web sayfası, kullanıcıları diğer web sayfalarında izleyen bir komut dosyası dağıtabilir

Açıklama: Alternatif uygulama pazaryerleri için geliştirilmiş istemci kimliği işlemeyle bir gizlilik sorunu giderildi.

CVE-2024-27852: Mysk Inc. (@mysk_co) şirketinden Talal Haj Bakry ve Tommy Mysk

Messages

Etki: Kötü amaçlarla oluşturulmuş bir iletinin işlenmesi, servis reddine neden olabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-27800: Daniel Zajork ve Joshua Zajork

Giriş eklenme tarihi: 10 Haziran 2024

Metal

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) (Trend Micro Zero Day Initiative programıyla)

Giriş eklenme tarihi: 10 Haziran 2024

Metal

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-27857: Trend Micro Zero Day Initiative'den Michael DePlante (@izobashi)

Giriş eklenme tarihi: 10 Haziran 2024

Notes

Etki: iOS aygıtına fiziksel erişimi olan bir saldırgan, kilitli ekrandan notlara erişebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-27835: Andr.Ess

Notes

Etki: Bir uygulama, Notlar eklerine erişebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-27845: Adam Berry

Giriş eklenme tarihi: 10 Haziran 2024

RemoteViewServices

Etki: Bir saldırgan, kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-27816: Mickey Jin (@patch1t)

Screenshots

Etki: Fiziksel erişimi olan bir saldırgan, kilitli ekrandan öğe paylaşabilir

Açıklama: Doğrulama işlemi iyileştirilerek izin sorunu giderildi.

CVE-2024-27803: anonim bir araştırmacı

Shortcuts

Etki: Bir kestirme, izin almadan hassas kullanıcı verilerinin çıktısını oluşturabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2024-27821: Kandji'den Kirin (@Pwnrin), zbleet ve Csaba Fitzl (@theevilbit)

Shortcuts

Etki: Bir kestirme, belirli eylemler gerçekleştirilirken kullanıcıya sormadan hassas verileri kullanabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27855: anonim bir araştırmacı

Giriş eklenme tarihi: 10 Haziran 2024

Siri

Etki: Fiziksel erişimi olan bir saldırgan, kilitli ekrandan kişilere erişebilir

Açıklama: Kilitli aygıtta sunulan seçenekler kısıtlanarak sorun giderildi.

CVE-2024-27819: Srijan Poudel

Giriş eklenme tarihi: 10 Haziran 2024

Spotlight

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ortam temizliği iyileştirilerek bu sorun giderildi.

CVE-2024-27806

Giriş eklenme tarihi: 10 Haziran 2024

StorageKit

Etki: Kötü amaçlı bir uygulama, kök ayrıcalıkları kazanabilir

Açıklama: İzin kontrolü iyileştirilerek bu sorun giderildi.

CVE-2024-27848: Kandji'den Csaba Fitzl (@theevilbit)

Giriş eklenme tarihi: 10 Haziran 2024

Symptom Framework

Etki: Bir uygulama, Uygulama Gizlilik Raporu günlük kaydını atlayabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27807: Romy R.

Giriş eklenme tarihi: 10 Haziran 2024

Sync Services

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi

CVE-2024-27847: Mickey Jin (@patch1t)

Transparency

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Yeni bir yetki ile bu sorun giderildi.

CVE-2024-27884: Mickey Jin (@patch1t)

Giriş eklenme tarihi: 29 Temmuz 2024

Voice Control

Etki: Bir saldırgan, ayrıcalıkları yükseltebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27796: ajajfxhj

WebKit

Etki: Rastgele kod okuyup yazabilen bir saldırgan, İmleç Kimlik Doğrulaması'nı atlayabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

WebKit Bugzilla: 272750

CVE-2024-27834: Trend Micro'nun Zero Day Initiative programında çalışan Manfred Paul (@_manfp)

WebKit

Etki: Kötü amaçlı olarak oluşturulmuş bir web sayfası kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Ek mantık eklenmesiyle bu sorun giderildi.

WebKit Bugzilla: 262337

CVE-2024-27838: Mozilla'dan Emilio Cobos

Giriş eklenme tarihi: 10 Haziran 2024

WebKit

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 268221

CVE-2024-27808: CISPA Helmholtz Center for Information Security'den Lukas Bernhard

Giriş eklenme tarihi: 10 Haziran 2024

WebKit

Etki: Kötü amaçlı olarak oluşturulmuş bir web sayfası kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Parazit enjeksiyonu algoritmasındaki iyileştirmeler ile bu sorun giderildi.

WebKit Bugzilla: 270767

CVE-2024-27850: anonim bir araştırmacı

Giriş eklenme tarihi: 10 Haziran 2024

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

WebKit Bugzilla: 271491

CVE-2024-27833: Trend Micro Zero Day Initiative programında çalışan Manfred Paul (@_manfp)

Giriş eklenme tarihi: 10 Haziran 2024

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

WebKit Bugzilla: 272106

CVE-2024-27851: 360 Vulnerability Research Institute'tan Nan Wang (@eternalsakura13)

Giriş eklenme tarihi: 10 Haziran 2024

WebKit Canvas

Etki: Kötü amaçlı olarak oluşturulmuş bir web sayfası kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

WebKit Bugzilla: 271159

CVE-2024-27830: Crawless'tan Joe Rutkowski (@Joe12387) ve @abrahamjuliot

Giriş eklenme tarihi: 10 Haziran 2024

WebKit Web Inspector

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 270139

CVE-2024-27820: underpassapp.com'dan Jeff Johnson

Giriş eklenme tarihi: 10 Haziran 2024

Ek teşekkür listesi

App Store

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

AppleMobileFileIntegrity

Yardımları için Mickey Jin'e (@patch1t) teşekkür ederiz.

Giriş eklenme tarihi: 10 Haziran 2024

CoreHAP

Adrian Cable'a yardımı için teşekkür ederiz.

Disk Images

Yardımları için Mickey Jin'e (@patch1t) teşekkür ederiz.

Giriş eklenme tarihi: 10 Haziran 2024

Face ID

Lucas Monteiro, Daniel Monteiro ve Felipe Monteiro'ya yardımları için teşekkür ederiz.

HearingCore

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

ImageIO

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 10 Haziran 2024

Managed Configuration

遥遥领先 (@晴天组织) adlı kullanıcıya yardımı için teşekkür ederiz.

ReplayKit

Thomas Zhao'ya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 10 Haziran 2024

Safari Downloads

Arsenii Kostromin'e (0x3c3e) yardımı için teşekkür ederiz.

Siri

Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 10 Haziran 2024

Status Bar

Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: 14 Ağustos 2024