Apple, perşembe günü iOS, iPadOS, macOS, tvOS, watchOS ve Safari web tarayıcısında aktif olarak istismar edildiğini söylediği üç yeni sıfır gün kusurunu gidermek için güvenlik güncellemeleri yayınladı.
Üç güvenlik eksikliği aşağıda listelenmiştir –
- CVE-2023-32409 – Kötü niyetli bir aktör tarafından Web İçeriği korumalı alanından çıkmak için kullanılabilecek bir WebKit kusuru. Sınır kontrolleri iyileştirilerek bu sorun giderildi.
- CVE-2023-28204 – WebKit’te, web içeriğini işlerken hassas bilgileri ifşa etmek için kötüye kullanılabilecek bir sınırların dışında okuma sorunu. Giriş doğrulama iyileştirilerek bu sorun giderildi.
- CVE-2023-32373 – WebKit’te, kötü amaçlarla oluşturulmuş web içeriğini işlerken rastgele kod yürütülmesine yol açabilen, kullanımdan sonra ücretsiz bir hata. İyileştirilmiş bellek yönetimiyle bu sorun giderildi.
iPhone üreticisi, CVE-2023-32409’u bildirdikleri için Google’ın Tehdit Analiz Grubu’ndan (TAG) Clément Lecigne’e ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’ndan Donncha Ó Cearbhaill’e itibar etti. İsimsiz bir araştırmacı, diğer iki konuyu bildirdiği için kabul edildi.
Hem CVE-2023-28204 hem de CVE-2023-32373’ün, Rapid Security Response güncellemelerinin (iOS 16.4.1 (a) ve iPadOS 16.4.1 (a)) bir parçası olarak yamandığını belirtmek gerekir. ay.
Şu anda kusurlar, saldırıların doğası veya bunları istismar ediyor olabilecek tehdit aktörlerinin kimliği hakkında ek teknik ayrıntılar bulunmamaktadır.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Bununla birlikte, bu tür zayıflıklar, diğerlerinin yanı sıra muhaliflerin, gazetecilerin ve insan hakları aktivistlerinin cihazlarına paralı casus yazılım yerleştirmek için yüksek oranda hedefli izinsiz girişlerin bir parçası olarak tarihsel olarak kullanılmıştır.
En son güncellemeler aşağıdaki cihazlar için mevcuttur –
- iOS 16.5 ve iPadOS 16.5 – iPhone 8 ve sonrası, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası
- iOS 15.7.6 ve iPadOS 15.7.6 – iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)
- macOS Ventura 13.4 – macOS Geliyor
- tvOS 16.5 – Apple TV 4K (tüm modeller) ve Apple TV HD
- OS 9.5 izle – Apple Watch Series 4 ve sonrası
- Safari 16.5 – macOS Big Sur ve macOS Monterey
Apple, 2023’ün başlangıcından bu yana şimdiye kadar aktif olarak istismar edilen toplam altı sıfır günü düzeltti. Bu Şubat ayının başlarında şirket, uzaktan kod yürütülmesine yol açabilecek bir WebKit kusurunu (CVE-2023-23529) kapattı.
Ardından geçen ay, yükseltilmiş ayrıcalıklarla kod yürütülmesine izin veren bir çift güvenlik açığı (CVE-2023-28205 ve CVE-2023-28206) için düzeltmeler gönderdi. Lecigne ve Ó Cearbhaill, güvenlik kusurlarını bildirdikleri için kredilendirildi.