Apple, CVE-2024-23296 yamasını iOS 16 şubesine destekledi ve MarketplaceKit’te kötü amaçlarla hazırlanmış web sayfalarının diğer web sayfalarındaki iOS kullanıcılarını izleyen bir komut dosyası dağıtmasına izin verebilecek bir hatayı (CVE-2024-27852) düzeltti.
Şirket ayrıca iOS 17’ye, bilinmeyen bir Bluetooth izleyicinin onlarla birlikte hareket ettiği “görüldüğünde” kullanıcıları uyaracak yeni bir özellik ekledi.
Yamalı güvenlik açıkları
Apple Pazartesi günü iOS ve iPadOS, macOS, Safari, tvOS ve watchOS için güvenlik güncellemelerini yayınladı.
MacOS Sonoma güncellemesi 22 güvenlik açığına yönelik düzeltmeler içeriyor; macOS Ventura ve Monterey güncellemeleri ise yalnızca birkaçı.
Açıkta kötüye kullanım raporlarının ardından Mart 2024’te iOS ve iPadOS 17.4, macOS Sonoma, watchOS, tvOS ve VisionOS’ta yamalanan RTKit sıfır gün (CVE-2024-23296) düzeltmesi desteklendi yalnızca Ventura, iOS 16.7.8 ve iPadOS 16.7.8 (şimdilik) için.
İOS ve iPadOS 17 şubesini çalıştıran kullanıcılar, farklı güvenlik açıklarını gideren en son güncellemeyi alabilir. Bunlar arasında, MarketplaceKit’te bulunan ve sitelerin iOS kullanıcılarını izlemesine olanak tanıyan bir hata olan CVE-2024-27852 de yer alıyor.
Mart 2023’te Apple, AB kullanıcılarının geliştiricilerin web sitelerinden alternatif (üçüncü taraf) pazar yeri uygulamaları yüklemesine olanak tanıyan iOS 17.4’te yeni bir URI şemasını kullanıma sundu. Ne yazık ki, Mysk Inc.’den Talal Haj Bakry ve Tommy Mysk’in keşfettiği gibi, planın uygulanmasındaki hatalar, siteler arası izleme için kötüye kullanılmasına izin veriyor.
En yeni şube için en yeni iOS/ıpados güncellemesi bu güvenlik açığını giderecek ancak araştırmacılar aynı zamanda AB’deki kullanıcıları alternatif pazar yeri uygulamalarını silmemeleri konusunda da uyardı çünkü güncelleme, alternatif pazar yeri uygulamalarının yeniden kurulumunu bozuyor.
“MarketplaceKit artık her çağrıldığında farklı bir client_id oluşturuyor. Artık alternatif pazar yeri geliştiricilerinin, pazar uygulamasını zaten satın almış olan kullanıcıları tanımlamasının bir yolu yok” diye açıkladılar.
Kullanıcıları Bluetooth izleme cihazları hakkında uyarma
Apple ve Google, iPhone’ların ve Android 6.0+ cihazlarının artık kullanıcıları bilinmeyen Bluetooth izleme cihazlarının varlığı konusunda uyaracağını duyurdu.
“Eğer bir kullanıcı alırsa [an ‘(Item) Found Moving With You’ alert] iOS cihazlarında bu, başka birinin AirTag’inin, Find My aksesuarının veya diğer sektör spesifikasyonlarıyla uyumlu Bluetooth takip cihazının onlarla birlikte hareket ettiği anlamına gelir. İzleyicinin kullanıcının ödünç aldığı bir öğeye eklenmiş olması mümkündür, ancak değilse iPhone izleyicinin tanımlayıcısını görüntüleyebilir, izleyicinin onu bulmaya yardımcı olması için bir ses çalmasını sağlayabilir ve onu devre dışı bırakmak için talimatlara erişebilir,” diye açıkladı Apple.
“Chipolo, eufy, Jio, Motorola ve Pebblebee gibi Bluetooth etiket üreticileri gelecekteki etiketlerin uyumlu olacağını taahhüt ettiler.”