Apple, iPhone, Mac ve iPad’lere yönelik saldırılarda yararlanılan ve Apple cihazlarının dijital güvenliğini ciddi şekilde etkileyen sıfırıncı gün güvenlik açıklarını gidermek için güvenlik yamaları yayınladı.
Şirket, bu güvenlik açıklarından aktif olarak yararlanıldığını gösteren raporların farkında olduğunu iddia ediyor.
Şirket bir danışma belgesinde “Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkında” dedi.
Apple’ın sırasıyla CVE-2023-37450 ve CVE-2023-38606 olarak izlenen çok platformlu WebKit tarayıcı motoru ve çekirdek bileşeninin, şirketin yamaladığı iki sıfır gün güvenlik açığı içerdiği bulundu.
Özellikle Apple, CVE-2023-37450’yi ele almak için bu ayın başlarında işletim sistemlerinin en son sürümlerini çalıştıran iPhone’lar, iPad’ler ve Mac’ler için Rapid Security Response (RSR) yükseltmelerini yayınladı.
CVE-2023-37450 – WebKit Güvenlik Açığı
Apple Safari’ye ek olarak iOS ve iPadOS’teki diğer tüm web tarayıcıları tarafından kullanılan tarayıcı motoru WebKit, CVE-2023-37450 olarak izlenen güvenlik açığını içeriyor.
Bu güvenlik açığı, duyarlı bir tarayıcı özel hazırlanmış kötü amaçlı web içeriğini işlediğinde etkinleştirilir.
Başarılı bir şekilde istismar edilirse, kötü aktörlere hassas cihazlara erişim ve virüslü sistem üzerinde kontrol sağlayarak rastgele kod yürütme yeteneği verir.
Etkilenen Cihazlar:
Tüm iPhone 8 ve sonraki modeller, tüm iPad Pro modelleri, iPad Air (3. nesil ve sonraki modeller), iPad 5. nesil ve sonraki modeller ve iPad mini (5. nesil) modeller bu güvenlik açığından etkilenir. Ayrıca macOS Ventura da etkilenen sistemler arasında yer alıyor.
CVE-2023-38606 – Çekirdek Güvenlik Açığı
İkinci kusur olan CVE-2023-38606, eski sürümleri çalıştıran iOS cihazlarına yönelik saldırılarda kullanılan yeni bir Çekirdek hatasıdır.
Şirket, “Apple, bu sorunun iOS 15.7.1’den önce yayınlanan iOS sürümlerinde aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır” dedi.
Saldırganlar, yama uygulanmamış cihazlarda hassas çekirdek durumlarını değiştirmek için kullanabilir. Apple, kontrolleri ve durum yönetimini geliştirerek iki kusuru düzeltti.
Kaspersky GReAT baş güvenlik araştırmacısı Boris Larin’e göre CVE-2023-38606, iMessage açıklarından yararlanma yoluyla iPhone’larda Triangulation casus yazılımını dağıtmak için kullanılan sıfır tıklamalı saldırı zincirinin bir parçasıdır.
Etkilenen Cihazlar:
CVE-2023-38606’nın oluşturduğu risk, iPhone 6s ve sonraki macOS sürümleriyle başlayan iPhone modelleri (Big Sur, Monterey ve Ventura dahil) dahil olmak üzere birçok Apple ürününü kapsar.
Tüm iPad Pro cihazları, iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası, iPad mini 5. nesil ve sonrası ve iPod touch 7. nesil bu güvenlik açığından etkilenir.
Ayrıca şirket, Mayıs ayında keşfedilen sıfırıncı gün güvenlik açığını (CVE-2023-32409) gidermek için tvOS 16.6 ve watchOS 9.6 cihazları için güvenlik güncellemelerini destekledi.
Bu güvenlik güncellemeleri artık tvOS 16.6 ve watchOS 9.6 çalıştıran cihazlarda kullanılabilir.
Apple, daha iyi giriş doğrulama, sınır denetimleri ve bellek yönetimiyle macOS Ventura 13.4, iOS ve iPadOS 16.5, tvOS 16.5, watchOS 9.5 ve Safari 16.5’teki üç sıfır gün güvenlik açığını etkili bir şekilde çözdü.
Yılın Başından Beri Düzeltilen Zero-Day Güvenlik Açıkları:
En son Siber Güvenlik Haberleri ile güncel kalın; bizi takip edin Google Haberleri, Linkedin, twitter, Ve Facebook.