Apple, vahşi saldırılarda kullanılan yeni bir sıfır gün kusuru da dahil olmak üzere iOS ve macOS’taki birden fazla güvenlik açığını gidermek için başka bir güvenlik güncellemesi yayınladı.
Tanımlayıcı atanan sorun CVE-2022-32917Çekirdek bileşeninde köklenir ve kötü amaçlı bir uygulamanın çekirdek ayrıcalıklarıyla rastgele kod yürütmesini sağlayabilir.
iPhone üreticisi kısa bir açıklamada, “Apple, bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir raporun farkındadır” diyerek, hatayı iyileştirilmiş sınır kontrolleriyle çözdüğünü de sözlerine ekledi.
Anonim bir araştırmacı, eksikliği bildirdiği için kredilendirildi. CVE-2022-32917’nin aynı zamanda Apple’ın bir aydan kısa bir sürede düzelttiği ikinci Çekirdek ile ilgili sıfır gün hatası olduğunu belirtmekte fayda var.
Yamalar iOS 15.7, iPadOS 15.7, iOS 16, macOS Big Sur 11.7 ve macOS Monterey 12.6 sürümlerinde mevcuttur. iOS ve iPadOS güncellemeleri iPhone 6s ve sonraki modellerini, iPad Pro (tüm modeller), iPad Air 2 ve sonraki modellerini, iPad 5. nesil ve sonraki modellerini, iPad mini 4 ve sonraki modellerini ve iPod touch’ı (7. nesil) kapsar.
En son düzeltmelerle Apple, yılın başından bu yana aktif olarak yararlanılan yedi sıfır gün kusurunu ve genel olarak bilinen bir sıfır gün güvenlik açığını ele aldı.
- CVE-2022-22587 (IOMobileFrameBuffer) – Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
- CVE-2022-22594 (WebKit Storage) – Bir web sitesi hassas kullanıcı bilgilerini izleyebilir (herkes tarafından bilinir ancak aktif olarak kullanılmaz)
- CVE-2022-22620 (WebKit) – Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, rastgele kod yürütülmesine neden olabilir
- CVE-2022-22674 (Intel Graphics Driver) – Bir uygulama çekirdek belleği okuyabilir
- CVE-2022-22675 (AppleAVD) – Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
- CVE-2022-32893 (WebKit) – Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, rastgele kod yürütülmesine neden olabilir
- CVE-2022-32894 (Kernel) – Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod çalıştırabilir
Apple, CVE-2022-32917’nin yanı sıra, iOS 16’da Kişiler, Çekirdek Haritaları, MediaLibrary, Safari ve WebKit’i kapsayan 10 güvenlik açığını kapattı. iOS 16 güncellemesi, sıfır tıklama saldırılarını daha zor hale getirmek için tasarlanmış yeni bir Kilitleme Modu içermesiyle de dikkat çekiyor.
iOS ayrıca, kullanıcıların tam bir işletim sistemi güncellemesi olmadan iOS cihazlarına güvenlik düzeltmelerini otomatik olarak yüklemelerini mümkün kılan Hızlı Güvenlik Yanıtı adlı bir özellik sunar.
Apple, Pazartesi günü yayınlanan gözden geçirilmiş bir destek belgesinde, “Hızlı Güvenlik Yanıtları, gelecekteki bir yazılım güncellemesindeki diğer iyileştirmelerin bir parçası olmadan önce önemli güvenlik iyileştirmelerini daha hızlı sağlıyor” dedi.
Son olarak, iOS 16, kullanıcıların Touch ID veya Face ID aracılığıyla kimlik doğrulaması yaparak web sitelerinde ve hizmetlerde oturum açmasına olanak tanıyan parolasız bir oturum açma mekanizması olan Safari web tarayıcısındaki geçiş anahtarları için de destek sağlar.