Apple, macOS, iOS ve iPadOS’ta aktif olarak kullanılan iki sıfır gün güvenlik açığını (CVE-2023-28205, CVE-2023-28206) düzelten güvenlik güncellemelerini yayınladı.
Google’ın Tehdit Analiz Grubu’ndan (TAG) araştırmacı Clément Lecigne ve Uluslararası Af Örgütü Güvenlik Laboratuvarı başkanı Donncha Ó Cearbhaill tarafından bildirilen güvenlik açıkları birlikte sömürülen hedef cihazlara casus yazılım yüklemek için muhtemel (doğrulanmamış olsa da) hedefle tam cihaz güvenliği elde etmek için.
Güvenlik açıkları hakkında
CVE-2023-28205, Safari ve iOS ve iPadOS’teki tüm web tarayıcıları tarafından kullanılan WebKit tarayıcı motorundaki ücretsiz sorundan sonra kullanımdır. Kusur, kötü amaçlarla oluşturulmuş web içeriği aracılığıyla tetiklenebilir ve rastgele kod yürütülmesine yol açabilir.
CVE-2023-28206, IOSurfaceAccelerator’da kötü amaçlı bir uygulama tarafından çekirdek ayrıcalıklarıyla rasgele kod yürütmek için kullanılabilen bir sınırların dışında yazma sorunudur.
İlki, kötü amaçlı yazılımın hedef cihaza sessizce yüklenmesiyle sonuçlanan, yanından geçerek, sıfır tıklama saldırısı gerçekleştirmek için kullanılabilir. İkincisi, saldırganların Safari’nin korumalı alanından kaçmalarına (yani ayrıcalıkları yükseltmelerine) ve tam sistem erişimi elde etmelerine olanak tanır.
“İronik bir şekilde, bubi tuzaklı bir uygulamaya dayanan çekirdek düzeyindeki hatalar, genellikle iPhone veya iPad kullanıcılarına karşı kendi başlarına pek işe yaramaz, çünkü Apple’ın katı App Store ‘duvarlı bahçe’ kuralları, saldırganların sizi hileli bir uygulama kurarken kandırmasını zorlaştırır. Sophos’un Asya Pasifik bölgesi Teknoloji Başkanı Paul Ducklin, “ilk etapta aplikasyon” diyor.
“Fakat saldırganlar, uzak bir tarayıcı bozan hatayı yerel bir çekirdek bozan delikle birleştirebildiklerinde, App Store sorununu tamamen atlatabilirler.”
Mac’ler, iPhone’lar ve iPad’ler için güvenlik güncellemeleri mevcuttur
Apple, 7 Nisan Cuma gününden bu yana daha yeni macOS (13.3.1), iOS ve iPad OS (16.4.1) sürümleri için güvenlik güncellemeleri yayınladı ve ardından eski (macOS 12.6.5 ve 12.6.5 ve 11.7.6 ve iOS/iPad 15.7.5) sürümleri.
macOS Monterey ve Big Sur kullanıcıları, her iki hatayı da ortadan kaldırmak için sunulan işletim sistemi güncellemesini VE Safari güncellemesini uygulamalıdır.
Alman güvenlik araştırmacısı ve Apple cihazları korsanı Linus Henze, CVE-2023-28206 için kusuru tetikleyen ve istismar edilebilir bir çekirdek paniğine yol açması gereken bir PoC yayınladı.
Ne yazık ki, CVE-2023-28205 ve CVE-2023-28206 kullanılarak gerçekleştirilen saldırılarla ilgili herhangi bir ayrıntı mevcut değil. Daha önce de belirtildiği gibi, Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’nın keşifte yer alması, güvenlik açıklarının insan hakları savunucularına ait cihazlara casus yazılım yüklemek için sınırlı saldırılarda kullanıldığına işaret ediyor. Yine de, tüm Mac, iPhone ve iPad kullanıcılarının işletim sistemlerini mümkün olan en kısa sürede yükseltmeleri tavsiye edilir.
Siber Güvenlik ve Altyapı Güvenliği Dairesi, her iki güvenlik açığını da Bilinen Yararlanılan Güvenlik Açıkları (KEV) Kataloğuna ekledi ve ABD federal sivil yürütme organlarının 1 Mayıs 2023’e kadar Apple’ın güncellemelerini uygulamasını talep ediyor.