Apple, iPhone ve iPad kullanıcılarını hedef alan saldırılarda kullanılan yeni bir sıfır gün güvenlik açığını düzeltmek için acil güvenlik güncellemeleri yayınladı.
Şirket Çarşamba günü yayınlanan bir danışma belgesinde, “Apple, bu sorunun iOS 16.6’dan önceki iOS sürümlerine karşı aktif olarak istismar edilmiş olabileceğine dair bir raporun farkındadır” dedi.
Sıfır gün (CVE-2023-42824), XNU çekirdeğinde keşfedilen ve yerel saldırganların yama yapılmamış iPhone ve iPad’lerdeki ayrıcalıkları artırmasına olanak tanıyan bir zayıflıktan kaynaklanıyor.
Apple, gelişmiş kontrollerle güvenlik sorununu çözdüğünü söylese de kusuru kimin bulduğunu ve bildirdiğini henüz açıklamadı.
Etkilenen cihazların listesi oldukça kapsamlıdır ve şunları içerir:
- iPhone XS ve sonraki modeller
- iPad Pro 12,9 inç 2. nesil ve üzeri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve üzeri, iPad Air 3. nesil ve üzeri, iPad 6. nesil ve üzeri ve iPad mini 5. nesil ve üzeri
Apple ayrıca, CVE-2023-5217 olarak izlenen ve açık kaynaklı libvpx video codec kütüphanesinin VP8 kodlamasındaki yığın arabellek taşması zayıflığından kaynaklanan ve başarılı bir kullanımın ardından rastgele kod yürütülmesine izin verebilecek sıfır gün sorununu da ele aldı.
Libvpx hatası daha önce Google tarafından Chrome web tarayıcısında ve Microsoft tarafından Edge, Teams ve Skype ürünlerinde yamanmıştı.
CVE-2023-5217, yüksek riskli bireyleri hedef alan devlet destekli hedefli casus yazılım saldırılarında sıklıkla sıfır günlerin kötüye kullanıldığını bulmasıyla tanınan güvenlik uzmanlarından oluşan bir ekip olan Google’ın Tehdit Analiz Grubu’nun (TAG) bir parçası olan güvenlik araştırmacısı Clément Lecigne tarafından keşfedildi.
Bu yıl düzeltilen saldırılarda 17 sıfır gün istismar edildi
CVE-2023-42824, Apple’ın bu yılın başından bu yana düzelttiği saldırılarda yararlanılan 17. sıfır gün güvenlik açığıdır.
Apple ayrıca yakın zamanda Citizen Lab ve Google TAG araştırmacıları tarafından bildirilen ve Cytrox’un Predator casus yazılımını yüklemek için casus yazılım saldırılarında kullanılan diğer üç sıfır gün hatasını (CVE-2023-41991, CVE-2023-41992 ve CVE-2023-41993) yamaladı.
Citizen Lab, Apple tarafından geçen ay düzeltilen diğer iki sıfır günü (CVE-2023-41061 ve CVE-2023-41064) daha ortaya çıkardı; sıfır tıklamayla istismar zincirinin (BLASTPASS olarak adlandırılan) bir parçası olarak, tamamen yamalı iPhone’lara NSO Group’un yazılımlarını bulaştırmak için kötüye kullanıldı. Pegasus casus yazılımı.
Ocak 2023’ten bu yana Apple, iPhone’ları ve Mac’leri hedeflemek için istismar edilen toplam 17 sıfır gün vakasını ele aldı; bunlara şunlar dahildir: