Apple, vahşi doğada aktif olarak sömürülen bir sıfır günlük kusur da dahil olmak üzere çeşitli kritik güvenlik açıklarını yamalamak için bir dizi yazılım güncellemesi yayınladı. Apple Güvenlik Güncellemeleri, özellikle Apple’ın işletim sistemlerinin temel ortam bileşenini etkileyen ve kötü amaçlı uygulamaların ayrıcalıkları yükseltmesine izin verebilecek olan çeşitli güvenlik sorunlarını, özellikle de kullanılmayan bir hatayı çözer.
CVE-2025-24085 olarak izlenen bu sıfır günlük güvenlik açığı, bir cihazın sistem düzeyinde ayrıcalıklarına yetkisiz erişim elde etmek için saldırganlar tarafından sömürülme potansiyeline sahipti. Apple, güvenlik güncellemesinin aciliyetinin altını çizerek, kusurun iOS 17.2’den önce iOS sürümlerinde aktif olarak kullanıldığını kabul etti. Güvenlik çabalarının bir parçası olarak Apple, bellek yönetimini geliştirerek ve diğer hayati düzeltmeleri yaparak kusuru ele aldı.
Kapsamlı bir Apple Güvenlik Güncellemesi
Apple’ın güvenlik güncellemesi, iOS, iPados, macOS, WatchoS ve TVO’lar dahil olmak üzere çeşitli bileşenleri kapsar ve birden fazla cihaz için kritik yamalar yayınlanır. İşte güncelleme zaman çizelgesinin ve etkilenen platformların bir dökümü:
Bu geniş sunum, çeşitli sistem bileşenlerindeki güvenlik açıklarını ele alır ve çok çeşitli elma cihazlarının güvenli kalmasını sağlar.
Sıfır Gün Güvenlik Açığı ve Bellek Yönetimi Düzeltmeleri
Bu Apple Güvenlik Güncellemesinde sabit olan en çok ilgili güvenlik açıklarından biri, çekirdek medyada kullanılmayan bir hata olan CVE-2025-24085’tir. Güvenlik açığı iOS’un önceki sürümlerinde keşfedildi ve cihazdaki ayrıcalıkları yükseltmek için saldırganlar tarafından sömürülebilirdi. Daha basit terimlerle, bu kusur kötü amaçlı bir uygulamanın güvenlik kısıtlamalarını atlamasına ve kök seviyesi ayrıcalıklarıyla yetkisiz eylemler yürütmesine izin verdi.
Apple’ın proaktif önlemleri, etkilenen sistemlerde gelişmiş bellek yönetimi, özellikle iPhone’ları, iPad’leri ve daha önceki iOS ve macOS sürümlerini çalıştıran Mac’leri hedefleyen. Şirketin güvenlik yaması, kullanıcı verilerini tehlikeye atabilecek yetkisiz erişim riskini ortadan kaldırarak tehdidi etkili bir şekilde etkisiz hale getirdi.
Temel güvenlik açıkları sabit
Sıfır gün güvenlik açıklarının ötesinde, bu güvenlik güncellemesi Apple’ın ekosistemindeki diğer birkaç kusuru ele alıyor. İşte en son düzeltmelerden etkilenen temel alanlardan bazıları:
Airplay güvenlik açıkları
Apple’ın kablosuz akış protokolü olan AirPlay’in, hafıza yolsuzluğu, sistem çökmeleri ve hizmet reddi (DOS) saldırıları gibi sorunlara yol açabilecek birden fazla güvenlik açıkına sahip olduğu bulundu. CVE-2025-24126, CVE-2025-24129 ve CVE-2025-24137 dahil olmak üzere bu güvenlik açıkları, özellikle saldırganların akış oturumlarını bozmalarına veya beklenmedik kazalara neden olmalarına izin verebilecekleri için ilgiliydi. Apple, AirPlay sistemindeki giriş doğrulama ve bellek yönetimi protokollerini geliştirerek bu güvenlik açıklarını düzeltti.
Arkit ve Coremedia güvenlik açıkları
Artırılmış gerçeklik (AR) deneyimlerine güç veren Arkit, CVE-2025-24127’de görüldüğü gibi dosya ayrıştırma ile ilgili güvenlik açıklarına da sahipti. Apple, Arkit’in dosyalarla etkileşimi sırasında doğrulama ve hata işlemeyi artırarak bu sorunu çözdü ve beklenmedik uygulama sonlandırmalarını önledi.
Benzer şekilde, Coremedia, ayrıcalığın artışını sağlayan sıfır günlük bir güvenlik açığı olan CVE-2025-24085 şeklinde ciddi bir kusurla karşılaştı. Bu, kötü niyetli aktörler tarafından sistem içindeki ayrıcalıklarını yükseltmek için kullanılabilecek ve esasen normal güvenlik kısıtlamalarını atlayabilecek kritik bir konuydu. Apple’ın düzeltmesi, sistem düzeyinde ayrıcalıklara yetkisiz erişimi önleyerek daha iyi bellek kullanımı sağlar.
Imageio ve Webkit düzeltmeleri
Apple ayrıca görüntü dosyalarını işleyen Imageio’daki güvenlik sorunlarını ve web içeriği için oluşturma motoru WebKit’i de ele aldı. Imageio’da, CVE-2025-24086 olarak tanımlanan bir hizmet reddi güvenlik açığı düzeltildi. Bu güvenlik açığı, kötü şekilde hazırlanmış görüntü dosyalarını işlerken uygulama çökmelerine yol açabilirdi.
Bu arada Webkit, CVE-2025-24143 ve CVE-2025-24150 gibi güvenlik açıkları için bir dizi düzeltme aldı. Bu sorunlar, kötü niyetli aktörlerin parmak izi yoluyla kullanıcıları izlemelerine veya sisteme komutlar enjekte etmesine izin verme potansiyeline sahipti. Apple’ın düzeltmesi, webkit içinde daha iyi bellek yönetimi ve dosya işleme ile daha güvenli bir tarama deneyimi sağlar.
Çekirdek ve sistem düzeyinde düzeltmeler
Herhangi bir işletim sisteminin çekirdek bir parçası olan çekirdek, aynı zamanda çeşitli güvenlik açıkları için bir hedefti. Çekirdekte bir güvenlik açığı olan CVE-2025-24159, çekirdek ayrıcalıkları ile keyfi kodun yetkisiz uygulanmasını önlemek için yamalandı. Bu kritik konu, ciddi sistem düzeyinde istismarlara yol açabilirdi. Apple’ın düzeltmesi, sadece yetkili uygulamaların üst düzey sistem işlevlerini yürütebilmesini sağlayarak çekirdek güvenliğini güçlendirir.
Benzer şekilde, yetkisiz uygulamaların hassas kullanıcı verilerine erişmesini veya gizlilik kısıtlamalarını atlamasını önlemek için lansman hizmetleri ve ApplemobileFileIntegrity’deki güvenlik açıkları ele alınmıştır.
Apple’ın en son güvenlik güncellemesindeki diğer önemli düzeltmeler
Apple’ın ekosisteminin diğer bazı bileşenleri de bu güvenlik güncellemesinin bir parçası olarak yamalar aldı. Özellikle, Safari 18.3’teki güvenlik açıkları düzeltildi, özellikle de saldırganların adres çubuğunu taklit etmesine izin verebilecek bir güvenlik açığı, kullanıcıları olmadıklarında güvenilir bir web sitesinde olduklarına inanmaları için yanıltıcı. Bu düzeltme, web tarayıcı güvenliğini geliştirir ve kullanıcıların tarayıcılarında görüntülenen URL’lere güvenebilmelerini sağlar.
Buna ek olarak, Watchos 11.3 ve TVOS 18.3, Airplay ve Coremedia güvenlik açıkları için yamalar aldı ve Apple Watches ve Apple TV’lere potansiyel saldırıları önledi.
Çözüm
CVE-2025-24085 dahil kritik güvenlik açıklarını ele alarak ve AirPlay, Arkit ve Webkit gibi temel bileşenlerdeki sorunları düzelterek Apple, ekosistemin güvenliğini güçlendirir. Kullanıcılar, cihazlarını potansiyel istismarlardan korumak için bu güncellemeleri derhal yüklemeleri istenir.
Güvenlik araştırmacıları ile devam eden işbirliği ile Apple, kullanıcılarını siber tehditlerden korumaya devam ediyor. Bu güncelleme, Apple’ın işletim sistemlerinin bütünlüğünü korumada önemli bir adımdır ve şirketin güvenliğe olan bağlılığını güçlendirir.
İlgili