Apple, belirli bireyler iPhone’a karşı yüksek hedefli, sofistike saldırılarda aktif olarak kullanılan iki kritik sıfır günlük güvenlik açıkını ele almak için iOS 18.4.1 ve iPados 18.4.1’i yayınladı.
Coreaudio ve RPAC bileşenlerinde tanımlanan güvenlik açıkları, saldırganların etkilenen cihazlarda keyfi kod yürütmesine veya güvenlik korumalarını atlamasına izin verebilir.
Aktif sömürü altında 2 sıfır güvenlik açığı
Coreaudio güvenlik açığı
İlk güvenlik açığı, CVE-2025-31200iOS ve iPados cihazlarında ses işleminden sorumlu bir çerçeve olan Coreaudio’da bulunur.
.png
)
Apple’a göre, kötü niyetli bir medya dosyasının işlenmesi, potansiyel olarak kod yürütülmesine yol açan bir bellek bozulması sorununu tetikleyebilir.
“Kötü niyetli bir medya dosyasında bir ses akışının işlenmesi, kod yürütülmesine neden olabilir. Apple, bu sorunun iOS üzerindeki belirli hedeflenen bireylere karşı son derece sofistike bir saldırıdan yararlanmış olabileceğine dair bir raporun farkındadır.”
Apple, Google’ın Tehdit Analiz Grubu ile işbirliği içinde, bu kusurun seçkin IOS kullanıcılarını hedefleyen gelişmiş bir saldırıda kullanıldığını bildirdi.
RPAC güvenlik açığı
İkinci güvenlik açığı, CVE-2025-31201istismarlara karşı korunmak için tasarlanmış bir güvenlik mekanizması olan RPAC’yi (iade odaklı programlama saldırısı karşı önlemi) etkiler.
Bu kusur, kod manipülasyonuna karşı koruyan bir özellik olan işaretçi kimlik doğrulamasını atlamak için keyfi okuma ve yazma özelliklerine sahip bir saldırganın izin verebilir.
“Keyfi okuma ve yazma özelliğine sahip bir saldırgan, işaretçi kimlik doğrulamasını atlayabilir. Apple, bu sorunun iOS üzerindeki belirli hedeflenen bireylere karşı son derece sofistike bir saldırıdan yararlanmış olabileceğine dair bir raporun farkındadır.” Dedi Apple.
Apple, bu sorunun aynı hedeflenen kampanyada da kullanıldığını ve savunmasız kodun kaldırılmasıyla hafifletildiğini belirtti.
Etkilenen cihazlar ve hafifletme
- iPhone Xs ve daha sonra
- iPad Pro 13 inç
- iPad Pro 13.9 inç (3. nesil ve daha sonra)
- iPad Pro 11-inç (1. nesil ve daha sonra)
- iPad Air (3. nesil ve daha sonra)
- iPad (7. nesil ve daha sonra)
- iPad Mini (5. nesil ve daha sonra)
Hedeflenen saldırılar büyüyen tehdidi vurguladı
Apple saldırılarla ilgili belirli ayrıntıları açıklamamış olsa da, şirket onları “son derece sofistike” olarak nitelendirdi ve belirli bireylere yönlendirdi ve olası devlet destekli veya yüksek kaynaklı bir tehdit oyuncusu önerdi.
Daha önce bilinmeyen güvenlik açıklarından yararlanan bu tür sıfır günlük istismarlar, genellikle casusluk veya hedeflenen siber kampanyalarda karmaşıklıkları ve maliyetleri nedeniyle kullanılır.
Apple, kullanıcıları korumak için yamalar mevcut olana kadar güvenlik sorunlarını açıklamama politikasını vurguladı.
Şirketin 16 Nisan 2025’te yayınlanan güvenlik sürüm notları, güvenlik açıkları ve etkilenen cihazlar hakkında ayrıntılı bilgi sağlar. Apple’ın güvenlik uygulamaları hakkında daha fazla bilgi için kullanıcılar Apple Ürün Güvenliği sayfasını ziyaret edebilir.
Nasıl Güncellenir
İOS 18.4.1 veya iPados 18.4.1’i yüklemek için Ayarlar> Genel> Yazılım Güncellemesi cihazınızda. Apple, bu güvenlik açıklarına karşı koruma sağlamak için tüm uygun kullanıcıların mümkün olan en kısa sürede güncellenmesini şiddetle tavsiye eder.
Siber tehditler gelişmeye devam ettikçe, Apple’ın bu sıfır gün istismarlarına hızlı tepkisi, kullanıcı gizliliğini ve güvenliğini korumadaki zamanında güncellemelerin kritik rolünün altını çiziyor.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!