Apple, saldırılarda kullanılan ve iPhone, iPad ve Mac cihazlarını etkileyen iki sıfır gün güvenlik açığını düzeltmek için acil güvenlik güncellemeleri yayınladı ve yılın başından bu yana yamalanan 20 sıfır güne ulaştı.
Şirket Çarşamba günü yayınlanan bir danışma belgesinde “Apple, bu sorunun iOS 16.7.1’den önceki iOS sürümlerine karşı istismar edilmiş olabileceğine dair bir raporun farkındadır” dedi.
WebKit tarayıcı motorunda (CVE-2023-42916 ve CVE-2023-42917) bulunan iki hata, saldırganların sınır dışı okuma zayıflığı yoluyla hassas bilgilere erişmesine ve bellek bozulması yoluyla rastgele kod yürütmesine olanak tanıyor. Kötü niyetli olarak hazırlanmış web sayfaları aracılığıyla savunmasız cihazlardaki hata.
Şirket, gelişmiş giriş doğrulama ve kilitleme özelliğiyle iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 ve Safari 17.1.2 çalıştıran cihazlardaki güvenlik kusurlarını giderdiğini açıkladı.
Etkilenen Apple cihazlarının listesi oldukça kapsamlıdır ve şunları içerir:
- iPhone XS ve sonraki modeller
- iPad Pro 12,9 inç 2. nesil ve üzeri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve üzeri, iPad Air 3. nesil ve üzeri, iPad 6. nesil ve üzeri ve iPad mini 5. nesil ve üzeri
- MacOS Monterey, Ventura, Sonoma çalıştıran Mac’ler
Google’ın Tehdit Analizi Grubu’ndan (TAG) güvenlik araştırmacısı Clément Lecigne, her iki sıfır günü de bulup bildirdi.
Apple, doğada devam eden sömürüye ilişkin bilgi yayınlamasa da Google TAG araştırmacıları, gazeteciler, muhalif politikacılar ve muhalifler gibi yüksek riskli kişilere yönelik devlet destekli casus yazılım saldırılarında kullanılan sıfır günleri sıklıkla bulup açıkladı.
2023’te doğada istismar edilen 20 sıfır gün
CVE-2023-42916 ve CVE-2023-42917, Apple’ın bu yıl düzelttiği saldırılarda yararlanılan 19. ve 20. sıfır gün güvenlik açıklarıdır.
Google TAG, XNU çekirdeğinde, saldırganların savunmasız iPhone ve iPad’lerdeki ayrıcalıkları artırmasına olanak tanıyan başka bir sıfır gün hatasını (CVE-2023-42824) açıkladı.
Apple yakın zamanda Citizen Lab ve Google TAG araştırmacıları tarafından bildirilen ve tehdit aktörleri tarafından Predator casus yazılımını dağıtmak için kullanılan üç sıfır gün hatasını (CVE-2023-41991, CVE-2023-41992 ve CVE-2023-41993) daha yamaladı.
Citizen Lab, Eylül ayında Apple tarafından düzeltilen ve NSO Group’un Pegasus casus yazılımını yüklemek için sıfır tıklamayla yararlanma zincirinin (BLASTPASS adı verilen) bir parçası olarak kötüye kullanılan iki sıfır günü daha (CVE-2023-41061 ve CVE-2023-41064) açıkladı.
Yılın başından bu yana Apple ayrıca aşağıdaki yamaları da uyguladı: