Apple, iPhone’ları, Mac’leri ve Apple TV’leri etkileyebilecek saldırılarda kullanılan bu yılın ilk sıfır gün güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
Bugünkü sıfır gün sabiti CVE-2024-23222 olarak izleniyor [iOS, macOS, tvOS] ve saldırganların hedeflenen cihazlarda kod yürütme elde etmek için yararlanabileceği bir WebKit karışıklık sorunudur.
Başarılı bir şekilde yararlanma, tehdit aktörlerinin kötü amaçlı bir web sayfasını açtıktan sonra savunmasız iOS, macOS ve tvOS sürümlerini çalıştıran cihazlarda rastgele kötü amaçlı kod yürütmesine olanak tanır.
Apple bugün yaptığı açıklamada, “Kötü amaçlarla hazırlanmış web içeriğinin işlenmesi, rastgele kod yürütülmesine yol açabilir. Apple, bu sorunun kötüye kullanılmış olabileceğine dair bir raporun farkındadır.” dedi.
Şirket, bu güvenlik açığının keşfedilmesini henüz bir güvenlik araştırmacısına bağlamadı. Şirket, yaygın bir istismarın farkında olduğunu açıklamasına rağmen, bu saldırılarla ilgili henüz daha fazla ayrıntı yayınlamadı.
Apple, iOS 16.7.5 ve sonraki sürümleri, iPadOS 16.7.5 ve sonraki sürümleri ile macOS Monterey 12.7.3 ve sonraki sürümlerinin yanı sıra tvOS 17.3 ve sonraki sürümlerinde iyileştirilmiş kontrollerle CVE-2024-23222 sorununu giderdi.
Bu WebKit sıfırıncı gün tarafından etkilenen cihazların tam listesi oldukça kapsamlıdır, çünkü hata eski ve yeni modelleri de etkilemektedir:
- iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. nesil, iPad Pro 9,7 inç ve iPad Pro 12,9 inç 1. nesil
- iPhone XS ve sonraki modeller, iPad Pro 12,9 inç 2. nesil ve sonraki modeller, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modeller, iPad Air 3. nesil ve sonraki modeller, iPad 6. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller Daha sonra
- macOS Monterey ve sonraki sürümlerini çalıştıran Mac’ler
- Apple TV HD ve Apple TV 4K (tüm modeller)
Bu sıfır gün güvenlik açığı muhtemelen yalnızca hedefli saldırılarda kullanılmış olsa da, potansiyel saldırı girişimlerini engellemek için bugünkü güvenlik güncellemelerinin mümkün olan en kısa sürede yüklenmesi önemle tavsiye edilir.
Bugün Apple, Kasım ayında yamalanan diğer iki WebKit sıfır gün (CVE-2023-42916 ve CVE-2023-42917) için eski iPhone ve iPad modellerine yamaları da destekledi.
Geçtiğimiz yıl şirket, aşağıdakiler de dahil olmak üzere doğada istismar edilen toplam 20 sıfır gün kusurunu düzeltti: