Apple, iPhone, Mac ve iPad’leri tehlikeye atmak için yapılan saldırılarda yararlanılan iki yeni sıfır gün güvenlik açığını gidermek için acil durum güvenlik güncellemeleri yayınladı.
Şirket, Cuma günü yayınlanan güvenlik tavsiyelerindeki sorunları açıklarken, “Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır.” Dedi.
İlk güvenlik kusuru (CVE-2023-28206 olarak izlenir), verilerin bozulmasına, çökmeye veya kod yürütülmesine yol açabilecek bir IOSurfaceAccelerator sınır dışı yazmadır.
Başarılı bir istismar, saldırganların hedeflenen cihazlarda çekirdek ayrıcalıklarına sahip rasgele kod yürütmek için kötü amaçlarla oluşturulmuş bir uygulama kullanmasına olanak tanır.
İkinci sıfır gün (CVE-2023-28205), serbest bırakılan belleği yeniden kullanırken verilerin bozulmasına veya rastgele kod yürütülmesine izin veren, serbest bırakma zayıflığından sonra bir WebKit kullanımıdır.
Bu kusur, hedefleri kandırarak saldırganların kontrolü altındaki kötü amaçlı web sayfalarını yüklemeleri için kullanılabilir ve bu da güvenliği ihlal edilmiş sistemlerde kod yürütülmesine yol açabilir.
İki sıfır gün güvenlik açığı, iyileştirilmiş giriş doğrulama ve bellek yönetimiyle iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 ve Safari 16.4.1’de giderildi.
Apple, etkilenen cihazların listesinin oldukça geniş olduğunu ve şunları içerdiğini söylüyor:
- iPhone 8 ve sonrası,
- iPad Pro (tüm modeller),
- iPad Air 3. nesil ve sonrası,
- iPad 5. nesil ve sonrası,
- iPad mini 5. nesil ve sonrası,
- ve macOS Ventura çalıştıran Mac’ler.
Yılın başından bu yana üç sıfır gün yamalı
Apple, vahşi istismar raporlarından haberdar olduğunu söylese de, şirket bu saldırılarla ilgili henüz bilgi yayınlamadı.
Ancak, iki kusurun Google’ın Tehdit Analiz Grubu’ndan Clément Lecigne ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’ndan Donncha Ó Cearbhaill tarafından bildirildiği ortaya çıktı.
Her iki kuruluş da dünya çapında politikacıların, gazetecilerin, muhaliflerin ve diğer yüksek riskli kişilerin akıllı telefonlarına ve bilgisayarlarına ticari casus yazılım yerleştirmek için devlet destekli tehdit aktörleri tarafından kötüye kullanılan sıfır gün hatalarından yararlanan kampanyaları düzenli olarak ifşa ediyor.
Geçen hafta, Google TAG ve Uluslararası Af Örgütü, paralı casus yazılım dağıtmak için Android, iOS ve Chrome’un sıfır gün ve n gün kusurlarını kullanarak açıktan yararlanma zincirlerini kullanan iki yeni saldırı serisini açığa çıkardı.
Bugün yamalanan sıfır gün büyük olasılıkla yalnızca yüksek hedefli saldırılarda kullanılmış olsa da, olası saldırı girişimlerini engellemek için bu acil durum güncellemelerinin mümkün olan en kısa sürede yüklenmesi şiddetle tavsiye edilir.
Şubat ayında Apple, işletim sistemi çökmelerini tetiklemek ve savunmasız iPhone’lar, iPad’ler ve Mac’lerde kod yürütme elde etmek için saldırılarda istismar edilen başka bir WebKit sıfır-gün (CVE-2023-23529) sorununu ele aldı.