Apple, iPhone ve iPad hatlarında çalışan mobil işletim sistemleri iOS ve iPadO’lara yaptığı son güncellemede, cihaz çekirdeklerini etkileyebilecek iki seri sorun da dahil olmak üzere toplam 33 onaylanmış güvenlik açığı için düzeltmeler yayınladı.
Yeni sürümler, iPhone için iOS 16.4 ve iPad için iPadOS 16.4, artık olağan kanallardan indirilebilir. Tüketici kullanıcılar, güncellemenin otomatik olarak uygulandığını görseler de, Ayarlar – Genel – Yazılım Güncelleme’ye erişerek güncelleme durumlarını kontrol edebilirler.
Apple, müşterilerini korumak ve mümkün olduğu kadar çok kişiye otomatik yükseltme prosedürlerinden yararlanma şansı vermek için, kapsamlı bir şekilde araştırılana ve gerekirse yamalar veya yeni sürümler kullanıma sunulana kadar herhangi bir güvenlik sorununu ifşa etmez, tartışmaz veya onaylamaz. Bu nedenle, kesin yapılarının tüm ayrıntıları, her zamanki gibi, seyrek.
İşletim sistemi çekirdek çekirdeğini etkileyen iki güvenlik açığı, şu anda Arizona Eyalet Üniversitesi’nin Geleceğin Hesaplaması için Güvenlik Mühendisliği Laboratuvarı’ndan (SEFCOM) Adam Doupé’ye atfedilen CVE-2023-27969 ve bir bireye atfedilen CVE-2023-27933 olarak izleniyor. daha önce Apple ürünlerindeki diğer çekirdeğe bağlı güvenlik açıklarını ifşa eden sqrtpwn tanıtıcısından geçiyor.
İlk durumda, istismar, bir uygulamanın sistemde çekirdek ayrıcalıklarına sahip rasgele kod yürütmesine yol açabilir. Aynısı ikinci örnek için de geçerlidir, ancak bu durumda uygulamanın sistemde kök ayrıcalıklarına da sahip olması gerekir. İyileştirilmiş bellek yönetimi ve kullanımıyla her iki sorun da giderildi.
Çekirdeğin herhangi bir işletim sisteminde gerçekleştirdiği işlerin kritik doğası nedeniyle, onu etkileyen güvenlik açıkları, sağlayabilecekleri üst düzey erişim için tehdit aktörleri tarafından değerlendirilir. Bu nedenle, güncellemelere öncelik verilmelidir.
Güncelleme ayrıca, Apple Neural Engine’de çekirdek ayrıcalıklarıyla rastgele kod yürütülmesine yol açabilecek üç güvenlik açığını, AppleMobileFileIntegrity, Calendar, Find My, Identity Services, Photos, Podcasts ve Sandbox’ta kullanıcı verilerinin açığa çıkmasına neden olabilecek güvenlik açıklarını ve iki güvenlik açığını düzeltir. WebKit.
Güvenlik güncellemeleri tüm iPhone 8 ve sonraki modellere, tüm iPad Pro modellerine, üçüncü nesil ve sonraki iPad Air modellerine, beşinci nesil ve sonraki iPad modellerine ve beşinci nesil ve sonraki iPad modellerine uygulanabilir. mini.
Güncelleme ayrıca diğer ürün geliştirmelerini ve en önemlisi eşek, zencefil kökü, kaz, denizanası ve bazı marakaslar dahil olmak üzere 20’den fazla yeni emoji içerir.
iOS ve iPadOS’in eski sürümleri de tüm iPhone 6s, iPhone 7, birinci nesil iPhone SE, iPad Air 2, dördüncü nesil iPad Mini ve yedinci nesil iPod touch modellerini kapsayan 15.7.4 sürümüne yönelik güncellemeler alıyor.
Bu güncelleme, cihaz kötü amaçlarla oluşturulmuş web içeriğini işlerse rastgele kod yürütülmesine yol açabilecek başka bir WebKit güvenlik açığı (CVE-2023-23529) dahil olmak üzere 16 güvenlik açığını düzeltir. Bu hatanın vahşi ortamda aktif olarak istismar edildiğine dair raporlar var. Apple’ın güvenlik politikaları göz önüne alındığında, şu anda nasıl kötüye kullanıldığına dair herhangi bir gösterge veya herhangi bir uzlaşma göstergesi (IoC’ler) yoktur.
Ayrıca watchOS için 9.4 sürümüne ve tvOS’u 16.4 sürümüne çıkaran yamalar da mevcuttur. Aynı zamanda, Mac siteleri işleten kuruluşlar, Big Sur (11.7.5), Monterey (12.6.4) ve Ventura (13.3) macOS sürümlerine yönelik güncellemelere öncelik vermelidir. Safari tarayıcısı için de bir güvenlik güncellemesi var.