En son güvenlik güncellemeleri turuyla Apple, “iOS 16.7.1’den önceki iOS sürümlerinde kullanılmış olabilecek” iki sıfır gün WebKit güvenlik açığını (CVE-2023-42916, CVE-2023-42917) düzeltti.
Güvenlik açıkları hakkında (CVE-2023-42916, CVE-2023-42917)
CVE-2023-42916, sınırların dışında bir okuma kusuru iken CVE-2023-42917, yararlanılabilir bellek bozulmasına izin veren bir güvenlik açığıdır.
Her ikisi de, şirketin Safari web tarayıcısı tarafından kullanılan ve Apple tarafından geliştirilen tarayıcı motoru olan WebKit’i ve iOS ve iPadOS’teki tüm web tarayıcılarını etkiler.
CVE-2023-42916, hassas bilgilerin ifşa edilmesine yol açabilirken CVE-2023-42917, rastgele kod yürütülmesine izin verir. Her iki kusur da Safari’nin özel hazırlanmış web içeriğini işlemesiyle tetiklenebilir.
Düzeltmeler mevcut
Güvenlik açıkları, Google’ın Tehdit Analizi Grubu’ndan (TAG) güvenlik araştırmacısı Clément Lecigne tarafından Apple’a bildirildi.
Her zamanki gibi Apple, bu sıfır günlerin istismar edildiği saldırılarla ilgili ayrıntıları açıklamadı, ancak Google TAG’ın genellikle hedeflenen kişilere (siyasi muhalifler, aktivistler) devlet destekli casus yazılımlar dağıtmak için kullanılan sıfır gün güvenlik açıklarını ortaya çıkardığını biliyoruz. ve gazeteciler).
İki güvenlik açığına yönelik düzeltmeler içeren güvenlik güncellemeleri aşağıdakiler için mevcuttur:
Güvenlik açıklarından son derece hedefli saldırılarda yararlanılmış olsa da, tüm kullanıcılara bu güncellemeleri mümkün olan en kısa sürede uygulamaları tavsiye ediliyor.
Apple, iOS’un 16.7.1’den önceki sürümlerine karşı güvenlik açıklarından yararlanıldığını söylüyor ancak iOS 16.7.1 ve iOS 16.7.2’nin (en son iOS 16 sürümü) savunmasız olup olmadığını söylemiyor. Eğer öyleyse, Apple muhtemelen yakında iOS 16 için yeni güvenlik güncellemelerini yayınlayacaktır.