Uç Nokta Güvenliği , Yönetişim ve Risk Yönetimi , Yama Yönetimi
Apple Tarafından Zorunlu WebKit Tarayıcı Motorunda Güvenlik Açıkları Var
Bay Mihir (MihirBagwe), David Perera’nın (@daveperera) •
19 Mayıs 2023
Apple, mobil cihazlar için tarayıcı oluşturma motorunda aktif olarak yararlanılan sıfır gün kusurlarını yamalıyor ve bir siber güvenlik firması, güvenlik açıklarının büyük olasılıkla devralma saldırılarının kanıtı olduğunu söylüyor.
Ayrıca bakınız: Veri Kaybını Önleme (DLP) Yeniden Tanımlanıyor
Akıllı telefon devi, CVE-2023-28204 olarak izlenen sınırların dışında bir kusur ve CVE-2023-32373 olarak izlenen ücretsiz kullanımdan sonra bir güvenlik açığı için yamalar yayınladı.
Her iki kusur da Apple’ın 1 Mayıs’taki ilk Hızlı Güvenlik Yanıtının konusuydu – Apple’ın söylediği güvenlik güncellemelerinin tam bir iOS güncellemesini beklememesi gereken acil güvenlik açıklarını ele alması amaçlanıyor.
Sophos güvenlik proselytizörü Paul Ducklin, “Genel olarak konuşursak, WebKit’te bu türden iki sıfır gün aynı anda ortaya çıktığında, suçlular tarafından iki adımlı bir devralma saldırısı oluşturmak için birleştirildikleri iyi bir bahistir” diye yazdı. Cuma. WebKit, uygulama içi web taramasına izin veren uygulamalar da dahil olmak üzere iOS üzerinde çalışan web tarayıcıları için Apple’ın zorunlu motorudur.
Ducklin, Information Security Media Group’a saldırganların iki sıfır günü birbirine zincirleyip zincirlemediğini kesin olarak söyleyemediğini, ancak bazı göstergeler yaptıklarını gösteriyor. Kusurlar, anonim bir araştırmacı tarafından ifşa edildi ve Apple tarafından acilen ele alındı. “Acil bir durumda tam olarak aynı anda hızlı yanıt alacak kadar şanslı olanlar için, tam olarak aynı anda rapor edilmişler ve yamalanmışlar gibi kokuyor.”
İşletim sistemleri, rastgele bellek adresleri atayarak CVE-2023-32373 gibi bozuk bellek kusurlarına karşı koruma sağlar; bu, bir saldırganın böyle bir kusurla etkilenen bir programı çökertmekten daha fazlasını yapamayacağı anlamına gelir. Ancak Ducklin, sınır dışı okuma kusuru CVE-2023-28204’ün bir program içindeki bellek düzeniyle ilgili sırları ortaya çıkarabileceğini ve devralmayı kolaylaştırabileceğini söyledi.
“Hafızanın nasıl yapılandırıldığına dair hafızada pek çok sır var” dedi. Zafiyet, saldırganların bellek adreslerini çıkarmasına izin verirse, bu, sınırların dışındaki CVE-2023-28204 kusurunu bir saldırı başlatmak için güvenilir bir yol haline getirecektir diye ekledi.
Apple ayrıca, CVE-2023-32409 olarak izlenen üçüncü bir WebKit güvenlik açığını yamaladı;
“Üçüncü sıfır günün diğer ikisiyle bağlantılı olup olmadığını bilmiyoruz” dedi. Öyle olsaydı, o zaman üç sıfır günün toplamı, bir saldırganın evden kaçmasına eşdeğer olurdu. İlk hata, ikinci hatadan güvenilir bir şekilde yararlanmak için gereken bellek adresleme sırlarını ortaya çıkarabilirken, ikinci hata, üçüncü hatadan yararlanmak için kodun yerleştirilmesine izin verebilir.
Yazılım geliştiricileri, Apple’ın tüm iOS web işlemesinin WebKit kullanması gerekliliğini eleştirdiler. 2022’de en az üç düzine geliştirici, geliştiricileri App Store’a ve web uygulamalarından uzaklaştırdığı için hatalı ve rekabete aykırı olmakla eleştiren bir savunuculuk örgütü kurdu.
WebKit’in destekçileri, kullanıcıların birden fazla kitaplık indirme zorunluluğunu ortadan kaldırdığını ve Apple’ın web motoru güvenliğini kontrol etmesine izin verdiğini söylüyor.
Ducklin, Apple’ın tüketicilere tarayıcılardan birinin diğerinden daha güvenli olduğunu düşünmeleri halinde değiştirme seçeneği sunmadığını söyledi. İOS’ta Apple Safari olmayan diğer tarayıcılar, esasen Safari’nin yeniden kaplanmış bir sürümüdür. “Bence pek çok insan başka bir şirketin tarayıcısına sahip olduklarını varsayıyor ve elbette sahip değiller. Safari’deki herhangi bir hatadan kurtulamıyorlar” diye ekledi.