iOS 18.2 ve iPadOS 18.2

Bu belgede iOS 18.2 ve iPadOS 18.2'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 18.2 ve iPadOS 18.2

Yayınlanma tarihi: 11 Aralık 2024

Accounts

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 3. nesil ve sonraki modelleri, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 7. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Gizli Fotoğraflar Albümü'ndeki fotoğraflar kimlik doğrulama olmadan görüntülenebilir

Açıklama: Dosya işleme iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-54488: ZUSO ART'tan Benjamin Hornbeck, Skadz (@skadz108) ve Chi Yuan Chang, taikosoup

Giriş eklenme tarihi: 27 Ocak 2025

APFS

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) ve anonim bir araştırmacı

Giriş eklenme tarihi: 27 Ocak 2025

AppleMobileFileIntegrity

Etki: Kötü amaçlarla oluşturulmuş bir uygulama, gizli bilgilere erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Etki: Bir araması çalarken aramayı sessize alma işlemi gerçekleştirilemeyebilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2024-54503: Micheal Chukwu ve anonim bir araştırmacı

Contacts

Etki: Bir uygulama, Mesajlar ve Mail'de otomatik olarak doldurulan iletişim bilgilerini sistem günlüklerinden görüntüleyebilir.

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2024-54550: Smi1e (@Smi1eSEC)

Giriş eklenme tarihi: 27 Ocak 2025

Crash Reporter

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2024-54513: anonim bir araştırmacı

Face Gallery

Etki: Bir sistem ikili dosyası, bir kullanıcının Apple Hesabına parmak iziyle giriş yapmak için kullanılabilir

Açıklama: İlgili bayraklar kaldırılarak sorun giderildi.

CVE-2024-54512: Bistrit Dahal

Giriş eklenme tarihi: 27 Ocak 2025

FontParser

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54486: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

ICU

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-54478: Gary Kwong

Giriş eklenme tarihi: 27 Ocak 2025

ImageIO

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2024-54499: Trend Micro Zero Day Initiative'den anonim bir araştırmacı

Giriş eklenme tarihi: 27 Ocak 2025

ImageIO

Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54500: Trend Micro Zero Day Initiative ile çalışan Junsung Lee

IOMobileFrameBuffer

Etki: Bir uygulama, yardımcı işlemci belleğini bozabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2024-54517: Baidu Security'den Ye Zhang (@VAR10CK)

CVE-2024-54518: Baidu Security'den Ye Zhang (@VAR10CK)

CVE-2024-54522: Baidu Security'den Ye Zhang (@VAR10CK)

CVE-2024-54523: Baidu Security'den Ye Zhang (@VAR10CK)

Giriş eklenme tarihi: 27 Ocak 2025

Kernel

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54468: Anonim bir araştırmacı

Giriş eklenme tarihi: 27 Ocak 2025

Kernel

Etki: Kullanıcı ayrıcalıklarına sahip bir saldırgan çekirdek belleğini okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2024-54507: MIT CSAIL'den Joseph Ravichandran (@0xjprx)

Giriş eklenme tarihi: 27 Ocak 2025

Kernel

Etki: Saldırgan, yazılabilen bir salt okunur bellek eşlemesi oluşturabilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2024-54494: sohybbyk

Kernel

Etki: Bir uygulama, hassas çekirdek durumunu sızdırabilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2024-54510: MIT CSAIL'den Joseph Ravichandran (@0xjprx)

Kernel

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına veya çekirdek belleğin bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-44245: anonim bir araştırmacı

libexpat

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2024-45490

libxpc

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54514: anonim bir araştırmacı

libxpc

Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

Etki: Parolaları otomatik doldurma özelliği, kimlik doğrulaması başarısız olduktan sonra parolaları doldurabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54530: Thiruvananthapuram'da (Hindistan) bulunan C-DAC'den Abhay Kailasia (@abhay_kailasia), Rakeshkumar Talaviya

Giriş eklenme tarihi: 27 Ocak 2025

Passwords

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, ağ trafiğini değiştirebilir

Açıklama: Ağ üzerinden bilgi gönderilirken HTTPS kullanılarak sorun giderildi.

CVE-2024-54492: Mysk Inc. (@mysk_co) şirketinden Talal Haj Bakry ve Tommy Mysk

QuartzCore

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54497: Trend Micro Zero Day Initiative'den anonim bir araştırmacı

Giriş eklenme tarihi: 27 Ocak 2025

Safari

Etki: Özel Geçiş'in etkin olduğu bir aygıtta Safari Okuma Listesi'ne bir web sitesi eklemek, kaynak IP adresini o web sitesine gösterebilir

Açıklama: Safari kaynaklı istekler daha iyi yönlendirilerek sorun giderildi.

CVE-2024-44246: Jacob Braun

Safari Private Browsing

Etki: Özel Dolaşma sekmelerine kimlik doğrulama olmadan erişilebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

Giriş eklenme tarihi: 27 Ocak 2025

SceneKit

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi servis reddine yol açabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-54501: Trend Micro Zero Day Initiative'den Michael DePlante (@izobashi)

Vim

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi yığın bozulmasına (heap corruption) neden olabilir

CVE-2024-45306

Giriş eklenme tarihi: 27 Ocak 2025

VoiceOver

Etki: iOS aygıtına fiziksel erişimi olan bir saldırgan, kilitli ekrandan bildirim içeriğini görüntüleyebilir

Açıklama: Ek mantık eklenmesiyle bu sorun giderildi.

CVE-2024-54485: Thiruvananthapuram'da (Hindistan) bulunan C-DAC'den Abhay Kailasia (@abhay_kailasia)

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Google Project Zero'dan Brendon Tiszka

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 282180

CVE-2024-54508: HKUS3Lab'den linjy ve WHUSecLab'den chluo, Tencent Security YUNDING LAB'den Xiangwei Zhang

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi bellek bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi bellek bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

WebKit Bugzilla: 282450

CVE-2024-54543: Lukas Bernhard, Gary Kwong ve anonim bir araştırmacı

Giriş güncellenme tarihi: 27 Ocak 2025

Ek teşekkür listesi

Accessibility

Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia), Andr.Ess'e, Jake Derouin'e, Jason Gendron'a (@gendron_jason) yardımları için teşekkür ederiz.

App Protection

Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) yardımı için teşekkür ederiz.

Calendar

Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) yardımı için teşekkür ederiz.

FaceTime

椰椰 adlı kişiye yardımı için teşekkür ederiz.

FaceTime Foundation

Joshua Pellecchia'ya yardımı için teşekkür ederiz.

Family Sharing

Hindistan'daki J T Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia), yardımı için teşekkür ederiz.

Files

Christian Scalese'ye yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 27 Ocak 2025

Notes

Katzenfutter adlı kişiye yardımı için teşekkür ederiz.

Photos

Bistrit Dahal'a, ZUSO ART'tan Chi Yuan Chang'e, taikosoup'a, Finlay James'e (@Finlay1010), Rizki Maulana'ya (rmrizki.my.id), Srijan Poudel'e yardımları için teşekkür ederiz.

Photos Storage

Jake Derouin'e (jakederouin.com) yardımı için teşekkür ederiz.

Proximity

George Mason Üniversitesi'nden Junming C. (@Chapoly1305) ve Prof. Qiang Zeng'e yardımları için teşekkür ederiz.

Quick Response

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Safari

Jayateertha Guruprasad'a yardımı için teşekkür ederiz.

Safari Private Browsing

Route Zero Security'den Richard Hyunho Im'e (@richeeta) yardımı için teşekkür ederiz.

Settings

Akshith Muddasani, Bistrit Dahal, Emanuele Slusarz ve Abhishek Kanaujia'ya yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 27 Ocak 2025

Siri

Srijan Poudel ve Bistrit Dahal'a yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 27 Ocak 2025

Spotlight

Hindistan'daki LNCT Bhopal'dan Abhay Kailasia'ya (@abhay_kailasia) C-DAC Thiruvananthapuram'a yardımı için teşekkür ederiz.

Status Bar

Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia), Andr.Ess'e yardımları için teşekkür ederiz.

Swift

Dr. Rer. Nat. Marc Schoenefeld'e yardımları için teşekkür ederiz.

Time Zone

Hindistan'daki LNCT Bhopal'dan Abhay Kailasia'ya (@abhay_kailasia) C-DAC Thiruvananthapuram'a yardımı için teşekkür ederiz.

WebKit

Hafiizh'e yardımı için teşekkür ederiz.

WindowServer

Felix Kratz'a yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: 1 Şubat 2025