Apple, eski iPhone’ları, iPad’leri ve Mac’leri de etkileyen aktif olarak kullanılan iki sıfır gün kusurunu ele alan, Cuma günü yayınlanan güvenlik yamalarını desteklemek için acil durum güncellemeleri yayınladı.
Şirket Pazartesi günü yayınlanan güvenlik tavsiyelerinde, “Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkında.” Dedi.
İlki (CVE-2023-28206 olarak izlenir), IOSurfaceAccelerator’da bulunan ve tehdit aktörlerinin kötü amaçlarla oluşturulmuş uygulamalar aracılığıyla hedeflenen cihazlarda çekirdek ayrıcalıklarıyla rastgele kod yürütmesine olanak tanıyan bir sınırların dışında yazma zayıflığıdır.
İkinci sıfır gün (CVE-2023-28205), tehdit aktörlerinin hedeflerini kötü amaçlı web sayfaları yüklemeleri için kandırdıktan sonra güvenliği ihlal edilmiş iPhone’larda, Mac’lerde veya iPad’lerde kötü amaçlı kod yürütmesine izin verebilen bir WebKit kullanımıdır.
Bugün Apple, giriş doğrulama ve bellek yönetimini iyileştirerek iOS 15.7.5 ve iPadOS 15.7.5, macOS Monterey 12.6.5 ve macOS Big Sur 11.7.6’daki sıfır günleri ele aldı.
Şirket, hataların artık aşağıdaki cihaz listesinde de düzeltildiğini söylüyor:
- iPhone 6’lar (tüm modeller),
- iPhone 7 (tüm modeller),
- iPhone SE (1. nesil),
- iPad Hava 2,
- iPad mini (4. nesil),
- iPod touch (7. nesil),
- ve macOS Monterey ve Big Sur çalıştıran Mac’ler.
Kusurlar, Google’ın Tehdit Analizi Grubu ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’ndaki güvenlik araştırmacıları tarafından bildirildi. keşfetti bir istismar zincirinin parçası olarak saldırılarda istismar ediliyorlar.
Her iki kuruluş da genellikle gazeteciler, politikacılar ve muhalifler gibi dünya çapındaki yüksek riskli kişilerin cihazlarına casus yazılım yüklemek için benzer taktikler ve güvenlik açıkları kullanan devlet destekli tehdit aktörleri hakkında rapor veriyor.
Örneğin, kısa bir süre önce, ticari gözetleme amaçlı kötü amaçlı yazılım yüklemek için Android, iOS ve Chrome hatalarını hedefleyen iki istismar zincirini kötüye kullanan kampanyaların ayrıntılarını paylaştılar.
CISA ayrıca federal kurumlara, iPhone’ları, Mac’leri ve iPad’leri hacklemek için vahşi ortamda aktif olarak kullanıldıkları bilinen bu iki güvenlik açığına karşı cihazlarını yamalamalarını emretti.
Şubat ortasında Apple, güvenlik açığı bulunan iOS, iPadOS ve macOS aygıtlarında çökmeleri tetiklemek ve kod yürütülmesini sağlamak için saldırılarda bulunan başka bir WebKit sıfır-gün (CVE-2023-23529) yaması yaptı.