Apple, iPhone ve Mac kullanıcılarını hedef alan saldırılarda kullanılan üç yeni sıfır gün güvenlik açığını düzeltmek için acil güvenlik güncellemeleri yayınladı ve bu yıl toplam 16 sıfır gün sorunu giderildi.
WebKit tarayıcı motorunda (CVE-2023-41993) ve Güvenlik çerçevesinde (CVE-2023-41991) saldırganların kötü amaçlı uygulamaları kullanarak imza doğrulamasını atlamasına veya kötü amaçla hazırlanmış web sayfaları aracılığıyla rastgele kod yürütmesine olanak tanıyan iki hata bulundu.
Üçüncüsü, çekirdek uzantıları ve çekirdekte yerleşik aygıt sürücüleri için API’ler ve destek sağlayan Çekirdek Çerçevesinde bulundu. Yerel saldırganlar ayrıcalıkları yükseltmek için bu kusurdan (CVE-2023-41992) yararlanabilir.
Apple, sertifika doğrulama sorununu ele alarak ve iyileştirilmiş kontroller yoluyla macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 ve watchOS 9.6.3/10.0.1’deki üç sıfır gün hatasını düzeltti.
Şirket, güvenlik kusurlarını açıklayan güvenlik tavsiyelerinde “Apple, bu sorunun iOS 16.7’den önceki iOS sürümlerine karşı aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır” dedi.
Etkilenen cihazların listesi eski ve yeni cihaz modellerini kapsar ve şunları içerir:
- iPhone 8 ve sonrası
- iPad mini 5. nesil ve sonrası
- MacOS Monterey ve daha yenisini çalıştıran Mac’ler
- Apple Watch Series 4 ve sonraki modeller
Üç sıfır günün tümü, Toronto Üniversitesi Munk Okulu’ndaki Vatandaş Laboratuvarı’ndan Bill Marczak ve Google’ın Tehdit Analizi Grubu’ndan Maddie Stone tarafından bulunup rapor edildi.
Apple henüz kusurların yaygın olarak kullanılmasına ilişkin ek ayrıntılar sunmamış olsa da, Citizen Lab ve Google Tehdit Analizi Grubu güvenlik araştırmacıları sıklıkla gazeteciler, muhalif politikacılar ve diğer yüksek riskli bireyleri hedef alan hedefli casus yazılım saldırılarında kötüye kullanılan sıfır gün hatalarını açığa çıkardılar. ve muhalifler.
Citizen Lab, bu ayın başlarında acil güvenlik güncellemelerinde Apple tarafından düzeltilen ve sıfır tıklamayla istismar zincirinin (BLASTPASS olarak adlandırılan) bir parçası olarak kötüye kullanılan iki sıfır gün daha (CVE-2023-41061 ve CVE-2023-41064) açıkladı. iPhone’lara NSO Group’un Pegasus ticari casus yazılımıyla tam yama uygulandı.
Yılın başından bu yana Apple ayrıca aşağıdaki yamaları da uyguladı: