Apple, Cuma günü, vahşi ortamda istismar edilen bir çift sıfır gün kusurunu gidermek için iOS, iPadOS, macOS ve Safari web tarayıcısı için güvenlik güncellemeleri yayınladı.
İki güvenlik açığı aşağıdaki gibidir –
- CVE-2023-28205 – WebKit’te, özel hazırlanmış web içeriği işlenirken rastgele kod yürütülmesine yol açabilecek ücretsiz sorundan sonra kullanım.
- CVE-2023-28206 – IOSurfaceAccelerator’da, bir uygulamanın çekirdek ayrıcalıklarıyla rasgele kod yürütmesini sağlayabilecek sınırların dışında bir yazma sorunu.
Apple, CVE-2023-28205’i geliştirilmiş bellek yönetimiyle ve ikincisini daha iyi giriş doğrulamasıyla ele aldığını ve hataların “aktif olarak kullanılmış olabileceğinin” farkında olduğunu ekledi.
Google’ın Tehdit Analizi Grubu’ndan (TAG) Clément Lecigne ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’ndan Donncha Ó Cearbhaill, kusurları keşfetme ve bildirme konusunda itibar sahibidir.
İki güvenlik açığıyla ilgili ayrıntılar, aktif istismar ışığında ve daha fazla tehdit aktörünün bunları kötüye kullanmasını önlemek için saklandı.
Güncellemeler iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 ve Safari 16.4.1 sürümlerinde mevcuttur. Düzeltmeler aynı zamanda geniş bir cihaz yelpazesini de kapsıyor –
- iPhone 8 ve sonrası, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası
- macOS Big Sur, Monterey ve Ventura çalıştıran Mac’ler
Apple, yılın başından bu yana üç sıfır gün yaması yaptı. Şubat ayında Apple, WebKit’te rastgele kod yürütülmesine neden olabilecek, aktif olarak istismar edilen başka bir sıfır günü (CVE-2023-23529) ele aldı.
Gelişme aynı zamanda Google TAG’ın ticari casus yazılım satıcılarının mobil cihazlara gözetleme amaçlı kötü amaçlı yazılım bulaştırmak için Android ve iOS’ta sıfır günden yararlandığını açıklamasının ardından geldi.