Apple, eski iPhone’lar ve iPad’ler için aktif olarak kullanılan bir sıfır gün hatasını ele alan, geçen ay yayınlanan destek yamaları için güvenlik güncellemeleri yayınladı.
Güvenlik açığı (CVE-2023-23529), şirketin 13 Şubat 2023’te daha yeni iPhone ve iPad cihazlarında düzelttiği WebKit türü bir karışıklık sorunudur.
Potansiyel saldırganlar, başarılı bir istismarın ardından güvenliği ihlal edilmiş iOS ve iPadOS aygıtlarında işletim sistemi çökmelerini tetiklemek ve kod yürütme elde etmek için bunu kullanabilir.
Tehdit aktörleri, kurbanları kötü amaçlı web sayfalarını açmaları için kandırdıktan sonra hedeflenen iPhone’larda ve iPad’lerde rasgele kod çalıştırabilir (bu hata, macOS Big Sur ve Monterey’de Safari 16.3.1’i de etkiler).
Apple, sıfır günü “Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, rastgele kod yürütülmesine yol açabilir. Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır” şeklinde açıklıyor. “Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkında.”
Apple ayrıca bugün iOS 15.7.4 ve iPadOS 15.7.4’te sıfır günü iyileştirilmiş kontrollerle ele aldı.
Etkilenen cihazların listesi iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil) cihazları içerir.
Doğada istismar edilen ilk sıfır gün bu yıl yamalandı
Apple, saldırılarda bu güvenlik açığından yararlanıldığına dair raporların farkında olduğunu söylese de, şirket bu olaylarla ilgili henüz bir bilgi yayınlamadı.
Ancak bu, sıfır gün için güvenlik yamalarını ifşa ederken Apple için standart bir prosedürdür.
Teknik ayrıntılara erişimin kısıtlanması, mümkün olduğu kadar çok kullanıcının cihazlarının güvenliğini sağlamasına olanak tanır ve saldırganların savunmasız cihazları hedef alan ek istismarlar geliştirme ve dağıtma çabalarını yavaşlatır.
CVE-2023-23529 sıfır gün muhtemelen yalnızca hedefli saldırılarda kullanılmış olsa da, eski yazılımları çalıştıran iPhone ve iPad cihazlarının kullanıcılarını hedef alan olası saldırı girişimlerini engellemek için günümüzün güvenlik güncellemelerini mümkün olan en kısa sürede yüklemeniz önemle tavsiye edilir.
Ocak ayında Apple ayrıca eski iPhone’lara ve iPad’lere uzaktan istismar edilebilir bir sıfır gün kusuru (Google’ın Tehdit Analizi Grubu’ndan Clément Lecigne tarafından bildirildi) için yamaları destekledi.