Apple, “aktif olarak kullanılmış olabilecek” bir WebKit sıfır gün güvenlik açığını (CVE-2023-23529) düzelten güvenlik güncellemeleri yayınladı.
Hata, iOS 16.3.1 ve iPadOS 16.3.1, macOS Ventura 13.2.1, Safari 16.3.1 ve muhtemelen ayrıca tvOS 16.3.2 ve watchOS 9.3.1’de düzeltildi – ancak bu İnternet güncellemeleri için sürüm notları of Things işletim sistemleri geçici olarak askıya alınmıştır.
CVE-2023-23529 hakkında
CVE-2023-23529, iOS ve iPadOS üzerinde çalışan Safari tarayıcısına ve diğer web tarayıcılarına güç veren tarayıcı motoru olan WebKit’te bir tür karışıklığı sorunudur.
Güvenlik açığı, kötü amaçlarla oluşturulmuş web içeriğinin işlenmesiyle tetiklenir ve saldırganların güvenlik açığı bulunan bir cihazda rasgele kod yürütmesine izin verebilir.
Anonim bir araştırmacının bunu bildirdiği kabul edildi, ancak güncelleme sürüm notları Toronto Üniversitesi Munk Okulu’ndaki Citizen Lab’e yardımları için teşekkür ettiğinden, güvenlik açığından kullanıcıları gözetlemek için yararlanılıyor olabilir (Laboratuvar genellikle araştırır ve raporlar dünya çapında mobil casus yazılımların kullanımı hakkında).
Bu sadece bizim açımızdan bir spekülasyon, çünkü her zamanki gibi Apple saldırılarla ilgili herhangi bir ayrıntı paylaşmadı.
iPhone, iPad ve iPad mini sahiplerinin mevcut güncellemeleri kontrol etmeleri ve cihazlarını mümkün olan en kısa sürede yükseltmeleri önerilir. Daha eski cihazların (ör. iPhone 7 ve daha eski sürümleri) kullanıcılarının, yamanın eski iOS ve iPadOS şubelerine geri aktarılmasını beklemesi gerekecektir.
Diğer sabit güvenlik açıkları
macOS Ventura çalıştıran kullanıcılar ayrıca işletim sistemi güvenlik güncellemesiyle CVE-2023-23529 için bir düzeltme eki alırken, hâlâ macOS Big Sur ve macOS Monterey kullananlar, Safari’yi 16.3.1 sürümüne güncelleyerek açığı kapatabilir.
iOS ve iPadOS güncellemesi aynı zamanda CVE-2023-23514 için bir düzeltme içerir; bu, kötü niyetli bir uygulamanın çekirdek ayrıcalıklarıyla rasgele kod yürütmesine izin verebilecek, çekirdekte serbest kaldıktan sonra kullanım sorunudur.
macOS güncellemesi, Kestirmeler bileşenindeki bir gizlilik sorunuyla birlikte onu da yamalar.