Apple, aktif olarak istismar edilmiş olabilecek üç sıfır gün güvenlik açığı için yamalar yayınladı.
Apple, suçlular tarafından halihazırda kullanılmış olabilecek bir dizi sıfır gün güvenlik açığını gidermek amacıyla çeşitli ürünler için güvenlik güncellemeleri yayınladı. Güncellemeler aşağıdakiler için kullanılabilir:
Düzenli güncelleme rutinlerinizde güncellemeler size zaten ulaşmış olabilir, ancak cihazınızın en son güncelleme düzeyinde olup olmadığını kontrol etmenizin zararı olmaz. Cihazınız için bir Safari güncellemesi mevcutsa bunu iPhone veya iPad’inizi güncelleyerek ya da Mac’inizi güncelleyerek alabilirsiniz.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Bu güncellemelerde yamalı CVE’ler şunlardır:
- CVE-2023-41991, kötü amaçlı bir uygulamanın imza doğrulamasını atlamasına olanak tanıyan bir sertifika doğrulama sorunu.
- CVE-2023-41992, yerel bir saldırganın ayrıcalıklarını yükseltmek için kullanabileceği bir kusur.
- CVE-2023-41993, rastgele kod yürütmek için kullanılabilecek web içeriğinin işlenmesiyle ilgili bir sorun.
Apple, tüm bu güvenlik açıklarının iOS 16.7’den önceki iOS sürümlerine karşı aktif olarak kullanılmış olabileceğini söylüyor.
CVE-2023-41993’ün WebKit’teki bir güvenlik açığı olduğuna dikkat etmek önemlidir. WebKit, Mac’lerdeki Safari web tarayıcısının yanı sıra iOS ve iPadOS’teki tüm tarayıcılara da güç veren motordur (iOS ve iPadOS’taki tüm web tarayıcıları bunu kullanmak zorundadır). Aynı zamanda Mail, App Store ve macOS, iOS ve Linux’taki diğer birçok uygulama tarafından kullanılan web tarayıcı motorudur.
Her üç güvenlik açığı da aynı araştırmacılara atfedildi: Toronto Üniversitesi Munk Okulu’ndaki Citizen Lab’dan Bill Marczak ve Google’ın Tehdit Analizi Grubu’ndan Maddie Stone. Citizen Lab, Toronto Üniversitesi Munk Küresel İlişkiler ve Kamu Politikası Okulu’nda bulunan, bilgi ve iletişim teknolojileri, insan hakları ve küresel güvenliğin kesiştiği noktada araştırma ve geliştirmeye odaklanan disiplinlerarası bir laboratuvardır. Gazetecilere, aktivistlere ve muhaliflere karşı casus yazılım kullanımına ilişkin araştırmalarıyla ünlüdür.
Yaklaşık iki hafta önce, CISA’nın bilinen istismar edilen güvenlik açıkları kataloğuna eklediği iki Apple sorununu bildirmiştik. Bu güvenlik açıkları da CitizenLab tarafından sıfır gün olarak keşfedildi. Bu iki güvenlik açığının birlikte BLASTPASS adı verilen bir saldırı zincirinde kullanıldığı tespit edildi. Bu istismar zinciri, kurbanın herhangi bir etkileşimi olmadan iOS’un en son sürümünü (16.6) çalıştıran iPhone’ları tehlikeye atabilecek kapasitedeydi ve bildirildiğine göre NSO Grubu tarafından Pegasus casus yazılımını dağıtmak için kullanıldı.
Bu üç yeni güvenlik açığının, yalnızca özel hazırlanmış kötü amaçlı web içeriğini görüntüleyerek bir cihazı tehlikeye atmak için nasıl kullanılabileceğini görmek zor değil; bu nedenle, özellikle yüksek profilli tehdit modeline sahip iPhone kullanıcıları için bu güncellemeleri mümkün olan en kısa sürede yüklemeniz önemle tavsiye edilir.
Yalnızca iOS güvenliği hakkında rapor vermiyoruz; bunu sağlıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes for iOS’u bugün indirerek tehditleri iOS cihazlarınızdan uzak tutun.