Apple, Intel tabanlı Mac sistemlerine yapılan saldırılarda istismar edilen iki sıfır gün güvenlik açığını gidermek için acil güvenlik güncellemeleri yayınladı.
Şirket Salı günü yayınlanan bir danışma belgesinde “Apple, bu sorunun istismar edilmiş olabileceğine dair bir raporun farkında” dedi.
İki hata, macOS’un macOS Sequoia JavaScriptCore (CVE-2024-44308) ve WebKit (CVE-2024-44309) bileşenlerinde bulundu.
JavaScriptCore CVE-2024-44308 kusuru, saldırganların kötü amaçla hazırlanmış web içeriği aracılığıyla uzaktan kod yürütmesine olanak tanıyor. Diğer kusur olan CVE-2024-44309, siteler arası komut dosyası çalıştırma (CSS) saldırılarına izin veriyor.
Şirket, macOS Sequoia 15.1.1’deki güvenlik kusurlarını giderdiğini söylüyor.
Aynı bileşenler diğer Apple işletim sistemlerinde de bulunduğu gibi iOS 17.7.2 ve iPadOS 17.7.2, iOS 18.1.1, iPadOS 18.1.1 ve VisionOS 2.1.1’de de düzeltilmiştir.
Apple, her iki kusurun da Google’ın Tehdit Analiz Grubu’ndan Clément Lecigne ve Benoît Sevens tarafından keşfedildiğini söylese de şirket bunların nasıl istismar edildiğine dair daha fazla ayrıntı vermedi.
BleepingComputer, kusurların nasıl kullanıldığını öğrenmek için Google ile temasa geçti ancak kendisine şu anda paylaşacak başka bir şeyleri olmadığı söylendi.
Bu iki güvenlik açığıyla Apple, ilki Ocak’ta, ikisi Mart’ta ve dördüncüsü Mayıs’ta olmak üzere 2024’te şu ana kadar altı sıfır gün düzeltti.
Bu sayı, Apple’ın aşağıdakiler de dahil olmak üzere yaygın olarak kullanılan toplam 20 sıfır gün kusurunu düzelttiği geçen yıla göre önemli ölçüde daha iyidir: