Apple, eski cihazları etkileyen yakın zamanda açıklanan kritik bir güvenlik açığı için aktif istismarın kanıtlarını öne sürerek düzeltmeleri destekledi.
CVE-2022-42856 olarak izlenen sorun, WebKit tarayıcı motorunda kötü amaçlarla oluşturulmuş web içeriğini işlerken rastgele kod yürütülmesine neden olabilecek bir tür karışıklığı güvenlik açığıdır.
Başlangıçta şirket tarafından 30 Kasım 2022’de iOS 16.1.2 güncellemesinin bir parçası olarak ele alınmış olsa da yama, iOS 15.7.2, iPadOS 15.7.2, macOS Ventura 13.1, tvOS ile daha geniş bir Apple cihaz grubunu kapsayacak şekilde genişletildi. 16.2 ve Safari 16.2.
iPhone üreticisi Pazartesi günü yayınlanan bir danışma belgesinde, “Apple, bu sorunun iOS 15.1’den önce yayınlanan iOS sürümlerinde aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır.” Dedi.
Bu amaçla, en son güncelleme olan iOS 12.5.7, iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 ve iPod touch (6. nesil) için kullanılabilir.
Google’ın Tehdit Analizi Grubu’ndan (TAG) Clément Lecigne, güvenlik açığını keşfettiği için kredilendirildi, ancak şu anda vahşi ortamdaki istismar girişimlerini çevreleyen kesin ayrıntılar bilinmiyor.
Güncelleme, Apple’ın iOS 16.3, iPadOS 16.3, macOS Ventura 13.2, watchOS 9.3 ve Safari 16.3’ü yayınlamasıyla birlikte, WebKit’te kod yürütülmesine yol açabilecek iki hata da dahil olmak üzere uzun bir güvenlik açığı listesini düzeltmek için geliyor.
macOS Ventura 13.2, hassas bilgileri sızdırmak, bellek düzenini belirlemek ve yükseltilmiş ayrıcalıklarla hileli kod yürütmek için kötüye kullanılabilecek Çekirdek’teki üç kusurun yanı sıra ImageIO ve Safari’deki iki hizmet reddi güvenlik açığını da kapatır.
Yine de tüm hata düzeltmeleri değil. Güncellemeler ayrıca kimlik avına dayanıklı iki faktörlü kimlik doğrulama için Apple Kimliklerini kilitlemek üzere donanım güvenlik anahtarlarını kullanma becerisini de beraberinde getiriyor. Ayrıca Gelişmiş Veri Korumanın kullanılabilirliğini ABD dışında da genişletirler.