iOS 17.6 ve iPadOS 17.6'nın güvenlik içeriği hakkında

Bu belgede iOS 17.6 ve iPadOS 17.6'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği

iOS 17.6 ve iPadOS 17.6

Yayınlanma tarihi: 29 Temmuz 2024

AppleMobileFileIntegrity

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Ek kod imzalama sınırlamaları getirilerek bir eski sürüme düşürme sorunu giderildi.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2024-40799: D4m0n

CoreMedia

Etki: Kötü amaçlarla oluşturulmuş bir video dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2024-27873: CrowdStrike Counter Adversary Operations'tan Amir Bazine ve Karsten König

dyld

Etki: Rastgele kod okuyup ve yazabilen kötü amaçlı bir saldırgan, İmleç Kimlik Doğrulaması'nı atlayabilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2024-40815: w0wbox

Family Sharing

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2024-40795: Kandji'den Csaba Fitzl (@theevilbit)

ImageIO

Etki: Bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2023-6277

CVE-2023-52356

ImageIO

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2024-40806: Yisumi

ImageIO

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-40777: Trend Micro Zero Day Initiative ile çalışan Junsung Lee ile CrowdStrike Counter Adversary Operations'dan Amir Bazine ve Karsten König

ImageIO

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2024-40784: Gandalf4a ve Trend Micro Zero Day Initiative ile çalışan Junsung Lee

Kernel

Etki: Yerel bir saldırgan çekirdek belleği düzenini belirleyebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir bilgi açığa çıkma sorunu giderildi.

CVE-2024-27863: CertiK SkyFall Ekibi

Kernel

Etki: Yerel bir saldırgan, sistemin beklenmedik şekilde kapanmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2024-40788: Zhejiang Üniversitesi'nden Minghao Lin ve Jiaxun Zhu

libxpc

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-40805

Phone

Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek bir kilitli ekran sorunu giderildi.

CVE-2024-40813: Jacob Braun

Photos Storage

Etki: Gizli Fotoğraflar Albümü'ndeki fotoğraflar kimlik doğrulama olmadan görüntülenebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2024-40778: Mateen Alinaghi

Sandbox

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-40824: SecuRing'den Wojciech Regula (wojciechregula.blog) ve JingDong Dawn Security Lab'den Zhongquan Li (@Guluisacat)

Sandbox

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2024-27871: Mickey Jin (@patch1t), Kandji'den Csaba Fitzl (@theevilbit) ve JingDong Dawn Security Lab'den Zhongquan Li (@Guluisacat)

Shortcuts

Etki: Bir kestirme, belirli eylemler gerçekleştirilirken kullanıcıya sormadan hassas verileri kullanabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-40835: anonim bir araştırmacı

CVE-2024-40836: anonim bir araştırmacı

Shortcuts

Etki: Bir kestirme internet izin gereksinimlerini atlayabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-40809: anonim bir araştırmacı

CVE-2024-40812: anonim bir araştırmacı

Shortcuts

Etki: Bir kestirme internet izin gereksinimlerini atlayabilir

Açıklama: Bu sorun, kullanıcı izni için ek istem eklenerek giderildi.

CVE-2024-40787: anonim bir araştırmacı

Shortcuts

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-40793: Kirin (@Pwnrin)

Siri

Etki: Bir saldırgan hassas kullanıcı bilgilerini görüntüleyebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-40786: Bistrit Dahal

Siri

Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir

Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.

CVE-2024-40818: Bistrit Dahal ve Srijan Poudel

Siri

Etki: Aygıta fiziksel erişimi olan bir saldırgan, kilitli ekrandan kişilere erişebilir

Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.

CVE-2024-40822: Srijan Poudel

Siri

Etki: Korumalı alandaki bir uygulama, sistem günlüklerindeki hassas kullanıcı bilgilerine erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-44205: NorthSea'den Jiahui Hu (梅零落) ve Meng Zhang (鲸落)

Giriş eklenme tarihi: 15 Ekim 2024

VoiceOver

Etki: Saldırgan kilitli ekrandan sınırlanmış içerikleri görüntüleyebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-40829: Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia (@abhay_kailasia)

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

WebKit Bugzilla: 273176

CVE-2024-40776: Ant Group Light-Year Security Lab'den Huang Xilin

WebKit Bugzilla: 268770

CVE-2024-40782: Maksymilian Motyl

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

WebKit Bugzilla: 275431

CVE-2024-40779: Ant Group Light-Year Security Lab'den Huang Xilin

WebKit Bugzilla: 275273

CVE-2024-40780: Ant Group Light-Year Security Lab'den Huang Xilin

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-40789: Trend Micro Zero Day Initiative ile çalışan KAIST Hacking Lab'den Seunghyun Lee (@0x10n)

WebKit

Etki: Özel Dolaşma sekmelerine kimlik doğrulama olmadan erişilebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

WebKit Bugzilla: 275272

CVE-2024-40794: Matthew Butler

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

WebKit Bugzilla: 276097

CVE-2024-44185: Gary Kwong

Giriş eklenme tarihi: 15 Ekim 2024

WebKit

Etki: Bir kullanıcı bazı web içeriği kısıtlamalarını aşabilir

Açıklama: Mantıkta iyileştirme yapılarak URL protokollerinin işlenmesiyle ilgili bir sorun giderildi.

WebKit Bugzilla: 280765

CVE-2024-44206: Andreas Jaegersberger ve Ro Achterberg

Giriş eklenme tarihi: 15 Ekim 2024

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

WebKit Bugzilla: 274165

CVE-2024-4558

Ek teşekkür listesi

AirDrop

DEVCORE'den Linwz'e yardımı için teşekkür ederiz.

Find My

Yardımları için Andrew Bruns, Bret Palsson, Phil Purviance ve Shawn Cohen'a teşekkür ederiz.

Giriş eklenme tarihi: 15 Ekim 2024

Settings

Joshua Thomas'a yardımı için teşekkür ederiz.

Shortcuts

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: 22 Ekim 2024