Apple, ürünlerindeki birden çok yeni güvenlik açığını düzeltiyor.
En son Rapid Security Response duyurusuna göre Apple, kritik bir sıfır gün güvenlik açığı olan CVE-2023-37450’yi düzeltmek için kararlı adımlar attı. Bu güvenlik açığından aktif olarak yararlanılmıştır ve rastgele kod yürütülmesine neden olabilir.
CVE-2023-37450 güvenlik açığı, Apple’ın Safari ve iOS ve iPadOS’teki diğer web tarayıcıları tarafından kullanılan tarayıcı motoru WebKit’te bulunmaktadır.
Bu güvenlik açığından yararlanma, özel olarak hazırlanmış kötü amaçlı web içeriği işlenerek tetiklenebilir ve potansiyel olarak rasgele kod yürütülmesine yol açabilir. Anonim bir güvenlik araştırmacısı, geliştirilmiş kontrollerle giderilen sorunu bildirdi.
Ancak, Apple’ın kullanıcı güvenliği için Hızlı Güvenlik Yanıtı yamalarına bağlılığı da belirli sınırlamalar getirir. Şirketin katı yükseltme politikaları, kullanıcıların gerçek sorunlarla karşılaşsalar bile tam sistem güncellemelerini kaldırmalarını kısıtlar.
Bu yaklaşım, jailbreak yapmak veya alternatif işletim sistemleri kurmak için kullanılan eski hataların yeniden ortaya çıkmasına neden olabilecek eski sürüm düşürmeleri önler.
Apple Security Response yamaları: Yardımcı oluyor mu?
Silikon Vadisi teknoloji devi, Apple’ın bu güvenlik açıklarını gidermek için Hızlı Güvenlik Yanıtı sistemini hayata geçirdi.
Bu sistem, siber suçlular tarafından genellikle siber saldırılar başlatmak için hedef alınan yazılım bileşenlerinin bir alt kümesine, özellikle Safari ve diğer web tarama öğelerine odaklanır. Apple, bu bileşenlere öncelik vererek güvenlik açıklarını hızlı ve verimli bir şekilde yamalamayı hedefliyor.
Rapid Security Response güncellemeleri macOS Ventura 13.4.1, iOS 16.5.1 ve iPadOS 16.5.1 için mevcuttur. Hızlı yamayı uyguladıktan sonra, sürümler sırasıyla 13.4.1 (a) ve 16.5.1 (a) olarak görüntülenecektir.
macOS Big Sur ve macOS Monterey’in daha eski desteklenen sürümleri söz konusu olduğunda, yalnızca Safari’ye yama uygulamak için geleneksel bir sistem güncellemesi mevcuttur ve Safari sürüm 16.5.2 ile sonuçlanır.
Bu güncellemeler en son Apple platformlarına hitap etse de şu an itibariyle (10 Temmuz 2023 itibariyle) iOS 15, daha eski iPhone’lar ve iPad’ler, Apple Watch’lar ve TV’ler.
Bu platformların da yukarıda belirtilen güvenlik açığından etkilenmesi olasıdır. Kullanıcıların, diğer Apple sistemlerine yönelik güncellemelerden haberdar olmak için Apple’ın genel Güvenlik Portalı’nı ve yeni Hızlı Güvenlik Yanıtı sayfasını izlemeleri önerilir.
Apple’ın Hızlı Güvenlik Yanıtı: Güvenlik açıklarıyla baş etmenin yeni bir yolu
Apple’ın Hızlı Güvenlik Yanıtı güncellemelerini Mayıs 2023’te kullanıma sunduğunu belirtmekte fayda var. Bu güncellemeler, Safari, WebKit çerçeve yığını ve kritik sistem kitaplıkları gibi bileşenlere odaklanarak düzenli yazılım güncellemeleri arasında çok önemli güvenlik geliştirmeleri olarak hizmet ediyor.
Bu hızlı yamalar, aktif olarak istismar edilen veya raporlananlar da dahil olmak üzere güvenlik sorunları için daha hızlı azaltma sağlamanın yanı sıra, gerektiğinde kullanıcılar tarafından kaldırılabilir ve bu da onları normal güvenlik güncellemelerinden farklı kılar.
Apple’ın Hızlı Güvenlik Tepkisi güncellemeleri, hızları ve milyonlarca aygıtta geniş ölçekli dağıtımları açısından sektörde bir ölçüt oluşturdu. Apple, otomatik güncellemeleri etkinleştirerek çoğu müşterinin bu güvenlik güncellemelerini sorunsuz bir şekilde almasını sağlar.
Synopsys Software Integrity Group’ta Kıdemli Ürün Müdürü olan Debrup Ghosh, Apple’ın hızlı yanıt vermesinin önemini vurgulayarak güvenlik açıklarını hızlı ve verimli bir şekilde ele almanın önemini vurguluyor.
Geliştirme ve test sırasında güvenlik açıklarını ortadan kaldırmak için her türlü çaba gösterilse de, zaman zaman çatlaklardan sıyrılabilirler.
Bununla birlikte, kritik faktör, bir kuruluşun bu güvenlik açıklarını hızlı bir şekilde düzeltme ve iyileştirme, aktif istismarları önleme veya hafifletme becerisinde yatmaktadır. Apple’ın Hızlı Güvenlik Güncellemeleri, bu hedefe ulaşmak için etkili ve verimli bir yaklaşım sergiliyor.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.