Apple, iPhone ve Mac kullanıcılarını hedef alan saldırılarda kullanılan iki yeni sıfır gün güvenlik açığını düzeltmek için acil güvenlik güncellemeleri yayımladı ve yılın başından bu yana yararlanılan toplam 13 sıfır gün açığını kapattı.
Şirket, güvenlik kusurlarını açıklayan güvenlik tavsiyelerinde “Apple, bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir raporun farkında” dedi.
Hataların tümü Görüntü G/Ç ve Cüzdan çerçevelerinde bulundu ve CVE-2023-41064 (Citizen Lab güvenlik araştırmacıları tarafından keşfedildi) ve CVE-2023-41061 (Apple tarafından keşfedildi) olarak takip ediliyor.
CVE-2023-41064, kötü amaçlarla hazırlanmış görüntüler işlenirken tetiklenen bir arabellek taşması zayıflığıdır ve yama uygulanmamış cihazlarda rastgele kod yürütülmesine yol açabilir.
CVE-2023-41061, hedeflenen cihazlarda rastgele kod yürütme elde etmek için kötü amaçlı bir ek kullanılarak kötüye kullanılabilen bir doğrulama sorunudur.
Apple, iyileştirilmiş mantık ve bellek kullanımıyla macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 ve watchOS 9.6.2’deki sıfır günleri düzeltti.
Etkilenen cihazların listesi, iki güvenlik hatasının hem eski hem de yeni modelleri etkilediği göz önüne alındığında oldukça kapsamlıdır ve şunları içerir:
- iPhone 8 ve sonrası
- iPad Pro (tüm modeller), iPad Air 3. nesil ve üzeri, iPad 5. nesil ve üzeri ve iPad mini 5. nesil ve üzeri
- macOS Ventura çalıştıran Mac’ler
- Apple Watch Series 4 ve sonraki modeller
Bu yıl istismar edilen 13 sıfır gün sorunu düzeltildi
Apple, yılın başından bu yana iOS, macOS, iPadOS ve watchOS çalıştıran cihazlara yönelik saldırılarda yararlanılan 13 sıfır gün hatasını düzeltti.
Apple, bugün yamalanan kusurlardan yararlanan saldırılarla ilgili ayrıntıları henüz açıklamasa da, CVE-2023-41064’ün, araştırmacıları daha önce bilgisayarlara ticari casus yazılım dağıtmak için kullanılan diğer Apple sıfır günleri hakkında bilgi paylaşan Citizen Labs tarafından bulunduğunu ve rapor edildiğini kabul etti. ve hedefli saldırılarda iPhone’lar.
İki ay önce, Temmuz ayında Apple, tamamen yama uygulanmış iPhone’ları, Mac’leri ve iPad’leri etkileyen bir güvenlik açığını (CVE-2023-37450) gidermek için bant dışı Hızlı Güvenlik Yanıtı (RSR) güncellemelerini yayınladı.
Daha sonra RSR güncellemelerinin yamalı cihazlarda web taramasını kısmen bozduğu ve iki gün sonra hatalı yamaların yeni ve sabit sürümlerini yayınladığı doğrulandı.
Bugünden önce Apple ayrıca şunları da belirtti: