Apple, eski iPhone’lara ve bazı Apple Watch ve Apple TV modellerine yönelik aktif olarak yararlanılan iki sıfır gün kusuruna yönelik yamaları desteklemek için acil durum güvenlik güncellemeleri yayınladı.
Şirket Pazartesi günü yayınlanan güvenlik tavsiyelerinde “Apple, bu sorunun iOS 16.7.1’den önceki iOS sürümlerine karşı istismar edilmiş olabileceğine dair bir raporun farkındadır” dedi.
Şu anda CVE-2023-42916 ve CVE-2023-42917 olarak izlenen iki güvenlik açığı, Apple tarafından geliştirilen ve şirketin Safari web tarayıcısı tarafından platformlarında (örn. macOS, iOS, iPadOS) kullanılan WebKit tarayıcı motorunda keşfedildi. .
Saldırganların, yama uygulanmamış cihazlardaki sınır dışı ve bellek bozulması hatalarından yararlanmak üzere tasarlanmış, kötü niyetli olarak hazırlanmış web sayfaları aracılığıyla hassas verilere erişmesine ve rastgele kod yürütmesine olanak tanıyabilirler.
Bugün Apple, gelişmiş giriş doğrulama ve kilitleme özellikleriyle iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 ve watchOS 10.2’deki sıfır gün sorununu ele aldı.
Şirket, hataların artık aşağıdaki cihaz listesine de eklendiğini söylüyor:
- iPhone 8 ve üzeri, iPad Pro (tüm modeller), iPad Air 3. nesil ve üzeri, iPad 5. nesil ve üzeri ve iPad mini 5. nesil ve üzeri
- Apple TV HD ve Apple TV 4K (tüm modeller)
- Apple Watch Series 4 ve sonraki modeller
Google’ın Tehdit Analizi Grubu’ndan (TAG) bir güvenlik araştırmacısı olan Clément Lecigne, her iki sıfır gün güvenlik açığını da keşfetti ve bildirdi.
Apple, saldırılardaki güvenlik açıklarından yararlanma konusunda henüz ayrıntılı bilgi vermemiş olsa da, Google TAG’daki araştırmacılar, gazeteciler, muhalifler, gazeteciler gibi yüksek profilli bireyleri hedef alan devlet destekli gözetleme yazılımı saldırılarında kullanılan sıfır gün kusurlarını sıklıkla tespit etmiş ve bunlara ilişkin bilgileri ifşa etmiştir. ve muhalifler.
CISA ayrıca geçen hafta, 4 Aralık’ta, Federal Sivil Yürütme Organı (FCEB) kurumlarına, aktif istismar kanıtlarına dayanarak cihazlarına bu iki güvenlik açığına karşı yama yapma talimatı verdi.
Yılın başından bu yana Apple, saldırılarda yararlanılan 20 sıfır gün güvenlik açığını kapattı: