Apple, kötüye kullanılmış olabileceğini söylediği bir güvenlik açığı için acil durum yamasını yayınladı.
Apple, genellikle ağzı sıkı olan tavsiyesinde, CVE-2023-42824 olarak adlandırılan güvenlik açığının niteliği hakkında ayrıntılı bilgi vermedi.
Yalnızca sorunun “iPhone XS ve sonraki sürümleri, iPad Pro 12,9 inç 2. nesil ve sonraki sürümleri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki sürümleri, iPad Air 3. nesil ve sonraki sürümleri, iPad 6. nesil ve sonraki sürümleri etkilediğini söylüyor. daha sonra ve iPad mini 5. nesil ve sonrası”.
Bu, çekirdekteki yerel bir ayrıcalık yükseltme güvenlik açığıdır ve “iOS 16.6’dan önceki iOS sürümlerine karşı aktif olarak kullanılmış olabilir.”
Acil durum yaması ayrıca ikinci bir güvenlik açığı olan CVE-2023-5217’nin azaltılmasını da içeriyor.
Bu güvenlik açığı, Google ve Alliance for Open Media’nın libvpx video codec kitaplığında bulunan bir hatadır.
Bu bir yığın arabellek taşması ve Mozilla’ya göre, ilk olarak Google’ın Tehdit Analiz Grubu’ndan Clément Lecigne tarafından rapor edildi.
Mozilla’nın tavsiye belgesinde, “Saldırgan tarafından kontrol edilen bir VP8 medya akışının özel olarak işlenmesi, içerik sürecinde yığın arabellek taşmasına yol açabilir” ve bunun uzaktan kod yürütülmesine yol açabileceği belirtildi.
Mozilla, sorunun “doğadaki diğer ürünlerde” istismar edildiğinin farkında olduğunu söyledi.
Apple’ın danışma belgesinde, sorunun libvpx 1.13.1’e güncellenerek giderildiği belirtildi.