Apple, Çarşamba günü iOS, iPadOS, macOS, watchOS ve Safari tarayıcısı için vahşi ortamda aktif olarak istismar edildiğini söylediği bir dizi kusuru gidermek için bir dizi güncelleme yayınladı.
Buna, 2019’dan beri aktif olan Operasyon Üçgeni adlı bir mobil gözetleme kampanyasında silah haline getirilen bir çift sıfır gün dahildir. Kampanyanın arkasındaki kesin tehdit aktörü bilinmiyor.
- CVE-2023-32434 – Çekirdek ayrıcalıklarına sahip rasgele kod yürütmek için kötü amaçlı bir uygulama tarafından kullanılabilen, Çekirdekte bir tamsayı taşması güvenlik açığı.
- CVE-2023-32435 – WebKit’te, özel hazırlanmış web içeriğini işlerken rastgele kod yürütülmesine yol açabilecek bir bellek bozulması güvenlik açığı.
iPhone üreticisi, Kaspersky araştırmacıları Georgy Kucherin, Leonid Bezvershenko ve Boris Larin’in bunları bildirdiklerini belirterek, iki sorunun “iOS 15.7’den önce yayınlanan iOS sürümlerinde aktif olarak kullanılmış olabileceğinin” farkında olduğunu söyledi.
Danışma belgesi, Rus siber güvenlik satıcısının, uzaktan kod yürütme (RCE) güvenlik açığından yararlanma içeren gömülü bir ek taşıyan iMessages aracılığıyla iOS cihazlarını hedef alan sıfır tıklamalı saldırı kampanyasında kullanılan casus yazılım implantını incelemesiyle geldi.
İstismar kodu ayrıca, hedef cihazda kök ayrıcalıkları elde etmek için ek bileşenler indirmek üzere tasarlanmıştır, ardından arka kapı belleğe yerleştirilir ve enfeksiyon izini gizlemek için ilk iMessage silinir.
TriangleDB adı verilen gelişmiş implant, yalnızca bellekte çalışır ve cihazın yeniden başlatılmasının ardından hiçbir etkinlik izi bırakmaz. Ayrıca, çeşitli veri toplama ve izleme yetenekleriyle birlikte gelir.
Buna, “cihazın dosya sistemiyle etkileşim (dosya oluşturma, değiştirme, sızma ve kaldırma dahil), süreçleri yönetme (listeleme ve sonlandırma), kurbanın kimlik bilgilerini toplamak için anahtarlık öğelerini çıkarma ve kurbanın coğrafi konumunu izleme ve diğerleri” dahildir.
Ayrıca Apple tarafından yamalanan üçüncü bir sıfır günlük CVE-2023-32439, anonim olarak bildirildi ve kötü amaçlı web içeriğini işlerken rastgele kod yürütülmesine neden olabilir.
Tip karışıklığı sorunu olarak tanımlanan aktif olarak kullanılan kusur, iyileştirilmiş kontrollerle giderildi. Güncellemeler aşağıdaki platformlar için mevcuttur –
- iOS 16.5.1 ve iPadOS 16.5.1 – iPhone 8 ve sonrası, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası
- iOS 15.7.7 ve iPadOS 15.7.7 – iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)
- macOS Ventura 13.4.1, macOS Monterey 12.6.7 ve macOS Big South 11.7.8
- watchOS 9.5.2 – Apple Watch Series 4 ve sonrası
- watchOS 8.8.1 – Apple Watch Series 3, Series 4, Series 5, Series 6, Series 7 ve SE ve
- Safari 16.5.1 – macOS Monterey çalıştıran Mac’ler
En son düzeltmelerle Apple, yılın başından bu yana ürünlerinde toplam dokuz sıfır gün kusurunu çözdü.
Şubat ayında şirket, uzaktan kod yürütülmesine yol açabilecek bir WebKit kusurunu (CVE-2023-23529) tespit etti. Nisan ayında, yükseltilmiş ayrıcalıklarla kod yürütülmesine izin veren iki hata (CVE-2023-28205 ve CVE-2023-28206) için güncellemeler yayınladı.
Ardından, Mayıs ayında, WebKit’te bir tehdit aktörünün korumalı alan korumasından kaçmasına, hassas verilere erişmesine ve keyfi kod yürütün.