Yönetişim ve Risk Yönetimi, Yama Yönetimi, Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VA/PT)
Gerçek Dünya Senaryoları Yarım yamalak Ama Araştırmacılar Uyarıyor: 'Casus Yazılım Varsayalım; Şimdi güncelle'
Sayın Mihir (MihirBagwe) •
6 Mart 2024
Apple, saldırganların iPhone ve iPad cihazlarında bellek bozulması saldırıları gerçekleştirmek için kullandığı iki kritik sıfır gün kusuru için acil bir güvenlik güncellemesi yayınladı.
Ayrıca bakınız: Forrester Araştırması: Hindistan'da Siber Güvenlik Ekiplerine Zarar Veren İnsanlar, Süreçler ve Teknoloji Zorlukları
Teknoloji devi Salı günü yaptığı acil güvenlik sürümünde dört güvenlik açığını giderdi. CVE-2024-23225 ve CVE-2024-23296 olarak tanımlanan iki kritik kusur, saldırganların çekirdekte keyfi okuma ve yazma yeteneklerine olanak tanıyor ve çekirdek bellek korumalarını atlatabiliyor.
Bu güvenlik açıklarının gerçek dünya senaryolarında kullanılması belirsizliğini koruyor. Saldırıların ayrıntıları veya söz konusu tehdit aktörleri belirsizdir. Apple, iOS 17.4, iPadOS 17.4, iOS 16.7.6 ve iPadOS 16.7.6'da uygulanan gelişmiş doğrulama yoluyla her iki zayıflığın da giderildiğini belirtti.
Siber güvenlik uzmanı Paul Ducklin, kullanıcılara bu güvenlik açığının kritik olduğunu varsaymalarını tavsiye etti ve onları hemen yama yapmaya çağırdı.
Ducklin, çekirdek düzeyinde bellek koruması bypassından bahsedilmesinin “iPhone ve iPad casus yazılım implantlarının serbest olduğu anlamına geldiğini” söyledi.
Apple'ın güvenlik bülteni başka belirsiz ifadeler de içeriyor: “Ek CVE girişleri yakında gelecek.” Ducklin, bu ek CVE'lerin rakipler tarafından kullanılan okuma ve yazma çekirdeği istismarıyla mı yoksa tamamen farklı bir hata ailesiyle ilgili diğer CVE'lerle mi ilgili olacağını açıklamadığını söyledi.
Apple yaması, Yunanistan merkezli Intellexa Konsorsiyumu tarafından geliştirilen teknolojinin ABD hükümet yetkililerini, gazetecileri ve politika uzmanlarını hedef almak için kullanılmasının ardından ABD Hazine Bakanlığı'nın ticari bir casus yazılım satıcısına karşı ilk yaptırımları açıkladığı gün geldi (bkz: ABD, Ticari Casus Yazılımlara Karşı İlk Yaptırımları Açıkladı).
Duyuruda, “Ticari casus yazılımların yayılması ABD için farklı ve büyüyen güvenlik riskleri oluşturuyor ve yabancı aktörler tarafından insan hakları ihlallerine ve dünyanın dört bir yanındaki muhaliflerin baskı ve misilleme amacıyla hedef alınmasına olanak sağlamak için kötüye kullanılıyor.” ifadesine yer verildi.
En son iki sıfır gün güvenlik açığına yönelik bir düzeltmenin yayınlanması, bu yıl Apple'ın istismar ettiği sıfır gün yamalarının üçüncü turuna işaret ediyor. Apple, Ocak ayında 2024'ün ilk sıfır gününü ele aldı. Bu, açık kaynaklı bir web tarayıcı motoru olan WebKit'te, saldırganların iPhone'larda, Mac'lerde ve Apple TV'lerde uzaktan kod yürütme haklarına izin veren bir tür karışıklık sorunuydu.
iPhone üreticisi 2023'te gerçek dünyadaki saldırılarda istismar edilen bir düzineden fazla sıfır günü ele aldı.