Apple’ın yeni Rapid Security Response (RSR) yamaları, saldırılarda kullanılan ve tamamen yamalı iPhone’ları, Mac’leri ve iPad’leri etkileyen yeni bir sıfır gün kusurunu gidermek için yayınlandı.
Hızlı Güvenlik Yanıtları, iOS, iPad ve Mac yazılım sürümünün yeni bir biçimidir.
Yazılım güncellemeleri arasında, WebKit çerçeve yığınına, Safari web tarayıcısına veya diğer önemli sistem kitaplıklarına yapılan yükseltmeler gibi önemli güvenlik güncellemeleri sağlarlar.
Ek olarak, istismar edilmiş veya “doğada” olduğu tespit edilmiş olabilecek bazı güvenlik endişelerini daha hızlı bir şekilde gidermek için kullanılabilirler.
Otomatik güncellemeleri devre dışı bırakırsanız veya mevcut olduklarında Hızlı Güvenlik Yanıtlarını yüklemezseniz, gelecekteki yazılım yükseltmelerinin bir parçası olarak cihazınıza yama uygulanacaktır.
“Web içeriğinin işlenmesi, rastgele kod yürütülmesine neden olabilir. Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkında” dedi.
İsimsiz bir güvenlik araştırmacısı, CVE-2023-37450 olarak etiketlenen sorunu açıkladı.
Güvenlik Açığı Ayrıntıları
Güvenlik açığı, Apple’ın WebKit tarayıcı motorunda keşfedildi ve saldırganların, kullanıcıları kötü amaçlarla oluşturulmuş bilgiler içeren web sayfalarını açmaları için kandırarak hedeflenen cihazlarda rasgele kod yürütmesine izin veriyor.
WebKit, iOS ve macOS destekli cihazlarda Safari, Mail, AppStore ve diğer birçok uygulama tarafından kullanılan tarayıcı motorudur.
Şirket, istismar girişimlerini azaltmak için kontrolleri iyileştirerek bu güvenlik açığını düzeltti.
Acil Durum Yaması Yayınlandı
- macOS Ventura 13.4.1(a)
- iOS 16.5.1 (a)
- iPadOS 16.5.1 (a)
- Safari 16.5.2
Apple, “Sorun, geliştirilmiş kontrollerle giderildi” diyor.
Bu ayın başlarında Apple, iPhone’lara Triangulation casus yazılımını yüklemek için iMessage sıfır tıklama saldırıları tarafından kullanılan üç sıfır gün güvenlik açığını (CVE-2023-32434, CVE-2023-32435 ve CVE-2023-32439) düzeltti.
İlk üç sıfır gün (CVE-2023-32409, CVE-2023-28204 ve CVE-2023-32373) paralı casus yazılım yüklemek için kullanıldı. Onlar da Mayıs ayında çözüldü.
Apple, sıfır gün ve n gün kusurları kullanan yüksek riskli hedeflere ait cihazlara casus yazılım yüklemek için saldırı zincirlerinde kullanılan iki sıfır gün zayıflığını (CVE-2023-28206 ve CVE-2023-28205) Nisan ayında yamaladı. Android, iOS ve Chrome’da.
2023’te şu ana kadar, herkes tarafından bilinen 41 sıfır gün saldırısı örneğinin beşte birinden fazlası (%22) Apple cihazlarındaki yazılım kodunu etkiledi.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.