7 Nisan’da Apple, aktif istismar kapsamında iki sıfır gün güvenlik açığı hakkında uyarı veren iki güvenlik güncellemesi yayınladı. 10 Nisan’a kadar bunlar, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) bilinen kötüye kullanılan güvenlik açıkları (KEV) listesine eklendi.
Apple’a göre, iPhone’ları ve iPad’leri çalıştırmak için kullanılan iOS 16.4.1 ve iPadOS 16.4.1 işletim sistemlerine ek olarak Apple Mac’ler için macOS Ventura 13.3.1’i etkileyen iki güvenlik açığının etkisi yaygın.
CISA, ilk hata olan CVE-2023-28205’in Apple iOS, iPad OS, macOS ve Safari WebKit’te kötü amaçlı Web içeriğini işlerken kod enjeksiyonuna yol açabilecek bir kusur olduğunu açıkladı. CISA, ikinci CVE-2023-28206’nın Apple iOS, iPadOS ve macOS IOSurfaceAccelerator’ı etkilediğini ve endişe verici bir şekilde kötü amaçlı bir uygulamanın çekirdek ayrıcalıklarıyla kod yürütmesine izin verebileceğini söyledi.
Apple, iOS 16 ve iPad OS 16 için güncellemeler yayınladı. Big Sur Monterey ve Ventura dahil olmak üzere diğer macOS sürümlerinde yüklenmesi gereken yamalar var ve Sophos’un ayrı bir danışma belgesinde belirttiği gibi, hataların iOS 15’i etkileyip etkilemeyeceği hala net değil. eski cihazlara sahip kullanıcılar.
Her iki sorun da tarafından bildirildi Google’ın Tehdit Analizi Grubu’ndan Clément Lecigne ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’ndan Donncha Ó Cearbhaill, siber güvenlik uzmanlarına, kusurların devlet aktörleri tarafından casus yazılım dağıtmak için kullanıldığına inanmaları için sebep veriyor.
Vulcan Cyber’in kıdemli teknik mühendisi Mike Parkin, Dark Reading’e yaptığı açıklamada, “Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’nın sorunu bildirmeye dahil olan kuruluşlardan biri olması ilginç,” dedi. “Apple, açıklardan yararlanma hakkında fazla bir şey söylemese de, raporlara ve daha önceki geçmişe bakıldığında, açıkların devlet düzeyindeki tehdit aktörleri tarafından konuşlandırıldığı muhtemel görünüyor.”