Apple, yeni keşfedilen ve her ikisi de hali hazırda istismar edilmiş olabilecek iki sıfır günün etkisini ortadan kaldırmayı amaçladığı için çeşitli ürün gruplarında bir dizi yazılım güncellemesi yayınladı.
Her ikisi de Google Tehdit Analiz Grubu’ndan Clément Lecigne ve Benoît Sevens’e atfedilen CVE-2024-44308 ve CVE-2024-44309 düzeltmeleri, iOS ve iPadOS 17.7.2 ve 18.1.1, macOS Sequoia 15.1.1 çalıştıran cihazları etkiler. ve VisionOS 2.1.1. Bunlar aynı zamanda Safari 18.1.1’de de mevcut.
CVE-2024-44308, JavaScriptCore çerçevesini etkiler ve hedef cihazın kötü amaçla hazırlanmış web içeriğini işlemesi mümkünse, bir tehdit aktörünün rastgele kod yürütmesini sağlar. Apple’a göre bu özelliğin Intel tabanlı Mac sistemlerinde zaten aktif olarak kullanıldığına dair raporlar var.
CVE-2024-44309, Apple ekosisteminde yaygın olarak kullanılan açık kaynaklı WebKit tarayıcı motorunu etkiliyor ve bir tehdit aktörünün siteler arası komut dosyası çalıştırma (XSS) saldırısı gerçekleştirmesine olanak tanıyan bir çerez yönetimi sorunu olarak tanımlanıyor.
Bir XSS saldırısında, bir tehdit aktörü, güvenilir web sitelerindeki içeriğe kötü amaçlı veriler ekleyebilir ve bu veriler daha sonra kurbanın tarayıcısına gönderilen içeriğe dahil edilebilir. Tehdit aktörünün kurban kılığına girmesini sağlayan oturum çerezi hırsızlığı da dahil olmak üzere bir dizi hedefe ulaşmak için kullanılabilirler, ancak aynı zamanda kötü amaçlı yazılım yaymak ve kimlik bilgilerini çalmak için de kullanılırlar.
Yine CVE-2024-44309’un Intel tabanlı Mac’lere karşı kullanımda olduğuna dair raporlar var.
WebKit risk altında
Apple ürünlerinde uzmanlaşmış bir cihaz yönetimi şirketi olan Jamf’in stratejiden sorumlu başkan yardımcısı Michael Covington, çerçevenin Safari web tarayıcısı için kritikliği göz önüne alındığında, savunucuların WebKit’teki güvenlik açıklarını derhal ele almasının çok önemli olduğunu söyledi.
“Apple tarafından sağlanan düzeltmeler, kötü amaçlı etkinlikleri tespit etmek ve önlemek için daha güçlü kontroller sunmanın yanı sıra, cihazların web’de gezinme sırasında verileri yönetme ve izleme biçimini de geliştiriyor. Saldırganların her iki güvenlik açığından da yararlanma potansiyeli olduğu göz önüne alındığında, kullanıcıların ve öncelikle mobil kuruluşların en son yamaları mümkün olan en kısa sürede uygulamaları kritik önem taşıyor” dedi Covington.
CVE-2024-44309, bu yıl WebKit’i etkileyen ilk sorun değil. Ocak ayı sonlarında Apple, CVE-2024-23222 yamasını yayınladı; bu yama aynı zamanda ABD’nin Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna da girdi.
Ayrıca sıfır gün olarak da istismar edilen CVE-2024-23222, savunmasız cihazda rastgele kod yürütülmesine yol açan bir tür karışıklığı kusuruydu
Her zaman olduğu gibi Apple, bu güvenlik açıklarından herhangi biri veya bunlardan nasıl yararlanıldığı hakkında çok az ayrıntı verdi. Ancak bunların, daha önce yağmacı ticari casus yazılım satıcılarının (örneğin, itibarsız İsrail firması NSO) kullandığı güvenlik açıkları üzerinde çalışmış olan Google ekipleri tarafından tespit edilmesi, bu yeni kusurların ne tür insanların ilgisini çekebileceğini gösterebilir.
Apple bu tür sorunlara karşı tetikte olmayı sürdürüyor ve özellikle Nisan ayında 90’dan fazla ülkedeki iOS kullanıcılarına, cihazlarını uzaktan tehlikeye sokan paralı bir casus yazılım saldırısı tarafından hedef alındıklarını tespit ettikten sonra bir güvenlik uyarısı yayınladı.
Her zamanki gibi, otomatik güncellemeleri etkinleştirmemiş olan Apple kullanıcıları, cihazlarının Ayarlar menüsüne, ardından Genel’e ve ardından Yazılım Güncelleme’ye giderek yamaları indirebilirler.