Apple, iOS’ta aktif olarak yararlanılan iki sıfır gün güvenlik açığının düzeltilmesi için acil bir güvenlik güncellemesi yayınladı. Güvenlik açıkları bu ayın başlarında keşfedildi ve CVE-2023-42916 olarak takip ediliyor ve CVE-2023-42917 birçok Apple ürününü etkiledi.
Apple’ın güvenlik tavsiyesi birçok güvenlik açığını giderdi. Bu acil durum güncellemesinde yanan en yaygın güvenlik açıklarından ikisi CVE-2023-42890 ve CVE-2023-42883’tür.
Bu güvenlik açıklarının tümü macOS, iOS ve iPadOS gibi çeşitli Apple ürünlerinin WebKit tarayıcı motorunda mevcuttu.
CVE-2023-42916: Sınır Dışında Okuma Güvenlik Açığı
Bu güvenlik açığı iOS, iPadOS, macOS ve Safari’nin WebKit’inde mevcut olup, bir tehdit aktörünün web içeriğini işlerken hassas bilgileri açığa çıkarabilecek sınır dışı bir okuma gerçekleştirmesine olanak tanır. Bu güvenlik açığına 6,5 önem derecesi verilmiştir (Orta).
Apple bu güvenlik açığını düzeltti ve bunu önlemek için uygun bir giriş doğrulama uyguladı.
Bu güvenlik açığından etkilenen ürünler arasında iPhone 8 ve üzeri, iPad Pro (tüm modeller), iPad Air 3. nesil ve üzeri, iPad 5. nesil ve üzeri ile iPad mini 5. nesil ve üzeri yer almaktadır.
CVE-2023-42917: Bellek Bozulması Güvenlik Açığı
Bu güvenlik açığı iOS, iPadOS, macOS ve Safari’nin WebKit’inde mevcut olup, bir saldırganın web içeriğini işlerken rastgele kod çalıştırmasına olanak tanır.
Bu güvenlik açığının önem derecesi 8,8 (Yüksek). Apple, kilitlemeyi iyileştirerek bu güvenlik açığını kapattıklarını belirtti.
Bu güvenlik açığından etkilenen ürünler arasında iPhone 8 ve üzeri, iPad Pro (tüm modeller), iPad Air 3. nesil ve üzeri, iPad 5. nesil ve üzeri ile iPad mini 5. nesil ve üzeri yer almaktadır.
Bu güvenlik açıklarının her ikisi de, bu ürünlerin tüm kullanıcılarına farkındalık sağlamak amacıyla CISA’nın Bilinen İstismar Edilen Güvenlik Açığı kataloğuna eklenmiştir.
Apple, bu güvenlik açıklarını gidermek ve siber suçluların kurbanı olmalarını önlemek için kullanıcılarına Apple ürünlerini en son sürüme güncellemelerini tavsiye ediyor.