Apple, sıfır gün tehditleri olarak aktif olarak kullanılmayan güvenlik açıklarını ele almak için bir dizi kritik güvenlik güncellemesi yayınladı. Bu güncellemeler, hala modası geçmiş yazılım çalıştırabilecek cihazları güvence altına almayı amaçlayan iOS, iPados, macOS ve Watchos’un eski sürümleri için geri portlu yamalar içerir.
Bu güncellemelerin temel odak noktası, sıfır günlük yamaların eski cihazlara geri dönmesidir ve çok çeşitli donanımlarda riskleri azaltma çabalarını yansıtır. Önemli güvenlik açıkları arasında, her ikisi de yamalar verilmeden önce aktif olarak sömürülen CVE-2025-24200 ve CVE-2025-24201 bulunmaktadır.
Backporting Zero-Day Düzeltmeleri
Güvenlik Açığı CVE-2025-24200, mobil adli araçların USB bağlantı noktaları aracılığıyla yetkisiz veri erişimini önlemek için tasarlanmış bir özellik olan kilitli cihazlarda USB kısıtlı modu atlamasına izin verdi. Bu kusur, 10 Şubat 2025’te iOS 18.3.1, iPados 18.3.1 ve MacOS 17.7.5’in yayınlanmasıyla ele alındı ve iOS 16.7.11 ve iPados 16.7.11 gibi eski sürümler için geri dönüşler sağlandı.
Benzer şekilde, webkit motorunu etkileyen CVE-2025-24201, saldırganların özel hazırlanmış web içeriği aracılığıyla web içeriği sanal alanından çıkmasını sağladı. Bu güvenlik açığı, birkaç saldırıda kullanıldı ve şirketin 11 Mart 2025 tarihinde iOS 18.3.2, iPados 18.3.2 ve MacOS Sequoia 15.3.2’de düzeltmeler yayınlamasını istedi. Eski cihazlar, iOS 16.7.11 ve ilgili MACOS sürümleri gibi sürümler aracılığıyla güncellemeler aldı.
Apple diğer güvenlik açıklarını ve düzeltmelerini ele alır
Sıfır gün kusurlarına ek olarak Apple, çekirdek medya çerçevesinde bir ayrıcalık artış sorunu olan CVE-2025-24085’e hitap etti. Bu güvenlik açığı, iOS 18.3, iPados 18.3, MacOS Sequoia 15.3 ve TVOS 18.3 için Ocak 2025 güncellemelerinde, iPados 17.7.6 ve MacOS Sonoma 14.7.5’te mevcut olan geri taşıma ile yamalandı.
Güncellemeler ayrıca Safari, Coreaudio, Haritalar, Takvim ve daha fazlası dahil olmak üzere çeşitli sistem bileşenlerinde bir dizi diğer güvenlik kusurunu da kapsamaktadır. Bu yamalar, veri ihlallerine, sistem çökmelerine veya yetkisiz erişime yol açabilecek riskleri ele alarak şirketin ekosisteminin genel güvenlik duruşunu artırmayı amaçlamaktadır.
En son güncellemelerin güvenlik içeriği
En son güncelleme, 1 Nisan 2025’te yayınlanan Watchos 11.4, Apple Watch Serisi 6 ve sonraki sürümlerini etkileyen güvenlik açıklarını hedefliyor. Anahtar düzeltmeleri, AirDrop ile ilgili bir izin sorununu ele alan CVE-2025-24097 ve yazı tipi işlemede bellek açıklamasına yol açabilecek bir kusur olan CVE-2025-24244’ü içerir.
Kimlik doğrulama hizmetleri de, saldırganların parola otomatikleştirme kısıtlamalarını atlamasına izin verebilecek CVE-2025-30430 gibi sorunlar ve benzer soneklere sahip web siteleri arasında WebAuthn kimlik bilgilerini etkileyen CVE-2025-24180 gibi yamalarla güçlendirildi. Diğer güvenlik geliştirmeleri, keyfi kod yürütmeyi tetikleyebilen kötü amaçlı yazı tipi dosyalarının işlenmesinde bir kusuru ele alan CVE-2025-24243 gibi sesle ilgili güvenlik açıklarını kapsar.
Çözüm
Bu güvenlik güncellemelerinin yayınlanması, güvenlik açıklarının, özellikle CVE-2025-24200 ve CVE-2025-24201 gibi sıfır günlük tehditlerin ele alınmasında zamanında yama yapmanın kritik rolünü vurgulamaktadır. Daha eski cihazlara geri dönen düzeltmeler yaparak, şirket daha geniş bir koruma sağlamayı amaçlamaktadır, ancak bu tür önlemlerin etkinliği büyük ölçüde güncellemelerin uygulanmasında kullanıcı hızlılığına dayanmaktadır.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.