Apple Cihazlarında macOS, iOS ve iPadOS’i etkileyen iki Sıfır Gün kusuru keşfedildi.
Güvenlik açıkları, rastgele kod yürütmeyi ve arabellek taşmasını içerir. Raporlar, bu güvenlik açıklarından aktif olarak yararlanıldığını gösteriyor.
Bu, kullanıcı etkileşimi gerektirmediği için yüksek riskli bir güvenlik açığı olarak kabul edilir. Apple rapora göre hızla harekete geçti ve bu güvenlik açıklarını gidermek için güvenlik yamaları yayınladı. Bu güvenlik açıkları ImageIO ve Wallet hizmetlerini etkiledi.
Cyber Security News ile paylaşılan raporlara göre, tehdit aktörlerinin NSO Group’un Pegasus paralı asker casus yazılımını istismar amacıyla kullandığı görülüyor. Bu istismar aynı zamanda kötü amaçla hazırlanmış bir görüntüden oluşan PassKit’i de içeriyordu.
Bu güvenlik açıklarına yönelik yararlanma zincirine şu ad verilmiştir: Citizen Lab’den BLASTPASS. Apple, Kilitleme Modunu etkinleştirmenin bu saldırıyı engelleyeceğini belirtti.
“Apple’ın güncellemesi dünya genelindeki düzenli kullanıcılara, şirketlere ve hükümetlere ait cihazların güvenliğini sağlayacak. BLASTPASS keşfi, sivil toplum kuruluşlarını destekleme konusundaki kolektif siber güvenliğimizin inanılmaz değerini vurguluyor.” Citizen Lab’ın gönderisini okur.
CVE-2023-41064: Arabellek Taşması
Bu güvenlik açığı macOS Ventura 13.5.2, iOS 16.6.1 ve iPadOS 16.6.1’de bulunmaktadır ve bir tehdit aktörü kötü amaçlarla hazırlanmış bir görüntü göndererek bu güvenlik açığından yararlanabilir. Görüntünün işlenmesi arabellek taşmasına neden olur ve bu da rastgele kod yürütülmesine neden olur.
Bu güvenlik açığının ciddiyeti henüz doğrulanmadı. Ancak Apple, bu güvenlik açığını gidermek için macOS Ventura 13.5.2, iOS 16.6.1 ve iPadOS 16.6.1’i yayımladı.
CVE-2023-41061: Keyfi Kod Yürütme
Bu güvenlik açığı, tehdit aktörleri tarafından kullanılabilecek ve keyfi kod yürütülmesine yol açabilecek bir doğrulama sorunu nedeniyle ortaya çıkmaktadır. Bu güvenlik açıkları Apple watchOS 9.6.2, iOS 16.6.1 ve iPadOS 16.6.1’den önceki sürümlerde mevcuttur.
Bu güvenlik açığının ciddiyeti henüz doğrulanmadı. Ancak Apple, Apple watch’taki bu güvenlik açığını gidermek için watchOS 9.6.2’yi yayımladı.
Apple Tarafından Yayınlanan Güvenlik Yamaları
İsim ve bilgi linki | İçin uygun | Yayın tarihi |
macOS Ventura 13.5.2 | macOS geliyor | 07 Eylül 2023 |
iOS 16.6.1 ve iPadOS 16.6.1 | iPhone 8 ve üzeri, iPad Pro (tüm modeller), iPad Air 3. nesil ve üzeri, iPad 5. nesil ve üzeri ve iPad mini 5. nesil ve üzeri | 07 Eylül 2023 |
watchOS 9.6.2 | Apple Watch Series 4 ve sonraki modeller | 07 Eylül 2023 |
Kaynak: Apple
Kullanımı ve hafifletilmesine ilişkin ayrıntılı bilgi henüz yayınlanmamıştır.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, ikiTterve Facebook.