iOS 17.6 ve iPadOS 17.6'nın güvenlik içeriği hakkında

Bu belgede iOS 17.6 ve iPadOS 17.6'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 17.6 ve iPadOS 17.6

AppleMobileFileIntegrity

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Ek kod imzalama sınırlamaları getirilerek bir eski sürüme düşürme sorunu giderildi.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2024-40799: D4m0n

CoreMedia

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir video dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2024-27873: CrowdStrike Counter Adversary Operations'tan Amir Bazine ve Karsten König

dyld

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Rastgele kod okuyup ve yazabilen kötü amaçlı bir saldırgan, İmleç Kimlik Doğrulaması'nı atlayabilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2024-40815: w0wbox

Family Sharing

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2024-40795: Kandji'den Csaba Fitzl (@theevilbit)

ImageIO

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2023-6277

CVE-2023-52356

ImageIO

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2024-40806: Yisumi

ImageIO

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-40777: Trend Micro Zero Day Initiative ile çalışan Junsung Lee ile CrowdStrike Counter Adversary Operations'dan Amir Bazine ve Karsten König

ImageIO

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2024-40784: Gandalf4a ve Trend Micro Zero Day Initiative ile çalışan Junsung Lee

Kernel

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Yerel bir saldırgan çekirdek belleği düzenini belirleyebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir bilgi açığa çıkma sorunu giderildi.

CVE-2024-27863: CertiK SkyFall Ekibi

Kernel

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Yerel bir saldırgan, sistemin beklenmedik şekilde kapanmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2024-40788: Zhejiang Üniversitesi'nden Minghao Lin ve Jiaxun Zhu

libxpc

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-40805

Phone

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek bir kilitli ekran sorunu giderildi.

CVE-2024-40813: Jacob Braun

Photos Storage

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Gizli Fotoğraflar Albümü'ndeki fotoğraflar kimlik doğrulama olmadan görüntülenebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2024-40778: Mateen Alinaghi

Sandbox

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-40824: SecuRing'den Wojciech Regula (wojciechregula.blog) ve JingDong Dawn Security Lab'den Zhongquan Li (@Guluisacat)

Sandbox

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2024-27871: Mickey Jin (@patch1t), Kandji'den Csaba Fitzl (@theevilbit) ve JingDong Dawn Security Lab'den Zhongquan Li (@Guluisacat)

Shortcuts

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Bir kestirme, belirli eylemler gerçekleştirilirken kullanıcıya sormadan hassas verileri kullanabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-40835: anonim bir araştırmacı

CVE-2024-40836: anonim bir araştırmacı

Shortcuts

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Bir kestirme internet izin gereksinimlerini atlayabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-40809: anonim bir araştırmacı

CVE-2024-40812: anonim bir araştırmacı

Shortcuts

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Bir kestirme internet izin gereksinimlerini atlayabilir

Açıklama: Bu sorun, kullanıcı izni için ek istem eklenerek giderildi.

CVE-2024-40787: anonim bir araştırmacı

Shortcuts

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-40793: Kirin (@Pwnrin)

Siri

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Bir saldırgan hassas kullanıcı bilgilerini görüntüleyebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-40786: Bistrit Dahal

Siri

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir

Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.

CVE-2024-40818: Bistrit Dahal ve Srijan Poudel

Siri

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Aygıta fiziksel erişimi olan bir saldırgan, kilitli ekrandan kişilere erişebilir

Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.

CVE-2024-40822: Srijan Poudel

VoiceOver

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Saldırgan kilitli ekrandan sınırlanmış içerikleri görüntüleyebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-40829: Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia (@abhay_kailasia)

WebKit

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2024-40776: Ant Group Light-Year Security Lab'den Huang Xilin

CVE-2024-40782: Maksymilian Motyl

WebKit

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2024-40779: Ant Group Light-Year Security Lab'den Huang Xilin

CVE-2024-40780: Ant Group Light-Year Security Lab'den Huang Xilin

WebKit

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-40789: Trend Micro Zero Day Initiative ile çalışan KAIST Hacking Lab'den Seunghyun Lee (@0x10n)

WebKit

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2024-4558

WebKit

İlgili ürünler: iPhone XS ve sonraki modelleri, iPad Pro 13 inç, iPad Pro 12,9 inç 2. nesil ve sonraki modelleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modelleri, iPad Air 3. nesil ve sonraki modelleri, iPad 6. nesil ve sonraki modelleri, iPad mini 5. nesil ve sonraki modelleri

Etki: Özel Dolaşma sekmelerine kimlik doğrulama olmadan erişilebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-40794: Matthew Butler

Ek teşekkür listesi

AirDrop

DEVCORE'den Linwz'e yardımı için teşekkür ederiz.

Screen Time

Andreas Jaegersberger ve Ro Achterberg'e yardımları için teşekkür ederiz.

Settings

Joshua Thomas'a yardımı için teşekkür ederiz.

Shortcuts

Anonim bir araştırmacıya yardımı için teşekkür ederiz.