Apple, saldırılarda kullanılan iki sıfır gün güvenlik açığını ele alan, bir hafta önce yayınlanan yamaları desteklemek amacıyla eski iPhone ve iPad’ler için güvenlik güncellemeleri yayınladı.
Şirket bir danışma belgesinde “Apple, bu sorunun iOS 16.6’dan önceki iOS sürümlerine karşı aktif olarak istismar edilmiş olabileceğine dair bir raporun farkındadır” dedi.
İlk sıfır gün (CVE-2023-42824 olarak izlenir), XNU çekirdeğindeki bir zayıflığın neden olduğu ve yerel saldırganların savunmasız iPhone ve iPad’lerdeki ayrıcalıkları yükseltmesine olanak tanıyan bir ayrıcalık yükseltme güvenlik açığıdır.
Apple artık sorunu iOS 16.7.1 ve iPadOS 16.7.1’de de iyileştirilmiş kontrollerle düzeltti ancak kusuru kimin keşfettiğini ve bildirdiğini henüz açıklamadı.
CVE-2023-5217 olarak tanımlanan ikinci hata, açık kaynaklı libvpx video codec kütüphanesinin VP8 kodlamasındaki yığın arabellek taşması güvenlik açığından kaynaklanıyor. Bu kusur, tehdit aktörlerinin başarılı bir şekilde istismar edilmesi durumunda keyfi kod yürütme olanağına sahip olmasına olanak tanıyabilir.
Apple, herhangi bir istismar örneğini doğrulamamış olsa da Google, daha önce libvpx hatasını Chrome web tarayıcısında sıfır gün olarak yamalamıştı. Microsoft ayrıca Edge, Teams ve Skype ürünlerinde de aynı güvenlik açığını giderdi.
Google, CVE-2023-5217’nin keşfini, yüksek düzeyde hedeflenen devlet destekli hedefli casus yazılım saldırılarında istismar edilen sıfır günleri ortaya çıkarmakla tanınan güvenlik uzmanlarından oluşan bir ekip olan Google’ın Tehdit Analiz Grubu’nun (TAG) bir üyesi olan güvenlik araştırmacısı Clément Lecigne’e bağladı. riskli bireyler.
İki sıfır gün hatasından etkilenen cihazların listesi oldukça geniştir ve şunları içerir:
- iPhone 8 ve sonrası
- iPad Pro (tüm modeller), iPad Air 3. nesil ve üzeri, iPad 5. nesil ve üzeri ve iPad mini 5. nesil ve üzeri
CISA iki güvenlik açığını ekledi [1, 2] Geçen hafta Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na giderek federal kurumlara cihazlarını gelen saldırılara karşı korumalarını emretti.
Apple ayrıca yakın zamanda Citizen Lab ve Google TAG’dan araştırmacıların bildirdiği üç sıfır günü (CVE-2023-41991, CVE-2023-41992 ve CVE-2023-41993) ele aldı. Tehdit aktörleri Cytrox’un Predator casus yazılımını dağıtmak için bunları kullandı.
Ayrıca Citizen Lab, Apple tarafından geçen ay düzeltilen iki sıfır gün güvenlik açığı daha (CVE-2023-41061 ve CVE-2023-41064) buldu.
Bu kusurlar, BLASTPASS olarak bilinen sıfır tıklamalı bir istismar zincirinin parçası olarak istismar edildi ve NSO Group’un Pegasus casus yazılımını tam yama uygulanmış iPhone’lara yüklemek için kullanıldı.
Yılın başından bu yana Apple, iPhone’ları ve Mac’leri hedef almak için yaygın olarak kullanılan 18 sıfır gün güvenlik açığını yamaladı: