Apple, iPhone'lara yapılan saldırılarda istismar edilen iki iOS sıfır gün güvenlik açığını düzeltmek için acil güvenlik güncellemeleri yayınladı.
Şirket Salı günü yayınlanan bir danışma belgesinde “Apple, bu sorunun istismar edilmiş olabileceğine dair bir raporun farkında” dedi.
iOS Çekirdeğinde (CVE-2024-23225) ve RTKit'te (CVE-2024-23296) iki hata bulundu; bunların her ikisi de rastgele çekirdek okuma ve yazma yeteneklerine sahip saldırganların çekirdek bellek korumalarını atlamasına olanak tanıyor.
Şirket, gelişmiş giriş doğrulama özelliğiyle iOS 17.4, iPadOS 17.4, iOS 16.76 ve iPad 16.7.6 çalıştıran cihazlardaki güvenlik kusurlarını giderdiğini açıkladı.
Etkilenen Apple cihazlarının listesi oldukça kapsamlıdır ve şunları içerir:
- iPhone XS ve sonraki modeller, iPhone 8, iPhone 8 Plus, iPhone X, 5. nesil iPad, 9,7 inç iPad Pro ve 1. nesil iPad Pro 12,9 inç
- iPad Pro 12,9 inç 2. nesil ve üzeri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve üzeri, iPad Air 3. nesil ve üzeri, iPad 6. nesil ve üzeri ve iPad mini 5. nesil ve üzeri
Apple, sıfır günleri kimin açıkladığını veya bunların dahili olarak keşfedilip keşfedilmediğini paylaşmadı.
Apple, doğada devam eden istismara ilişkin bilgi yayınlamasa da iOS sıfır gün güvenlik açıkları, gazeteciler, muhalif politikacılar ve muhalifler gibi yüksek riskli kişilere yönelik devlet destekli casus yazılım saldırılarında yaygın olarak kullanılıyor.
Bu sıfır gün güvenlik açıkları muhtemelen yalnızca hedefli saldırılarda kullanılmış olsa da, potansiyel saldırı girişimlerini engellemek için bugünkü güvenlik güncellemelerinin mümkün olan en kısa sürede yüklenmesi önemle tavsiye edilir.
Bu iki güvenlik açığıyla Apple, ilki Ocak ayında olmak üzere 2024'te şu ana kadar üç sıfır gün düzeltti.
Geçtiğimiz yıl şirket, aşağıdakiler de dahil olmak üzere doğada istismar edilen toplam 20 sıfır gün kusurunu düzeltti: