Apple, iPhone’ları, Mac’leri ve iPad’leri hacklemek için yapılan saldırılarda yararlanılan üç yeni sıfır gün güvenlik açığını ele aldı.
Şirket, kusurları açıklayan güvenlik tavsiyelerinde “Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır” dedi.
Güvenlik açıklarının tümü çok platformlu WebKit tarayıcı motorunda bulundu ve CVE-2023-32409, CVE-2023-28204 ve CVE-2023-32373 olarak izlendi.
İlk güvenlik açığı, uzaktaki saldırganların Web İçeriği sanal alanlarını aşmasına olanak tanıyan bir sanal alan kaçışıdır.
Diğer ikisi, saldırganların hassas bilgilere erişmesine yardımcı olabilecek sınırların dışında okuma ve her ikisi de hedefleri kötü amaçlarla oluşturulmuş web sayfalarını yüklemeleri için kandırdıktan sonra güvenliği ihlal edilmiş cihazlarda rasgele kod yürütülmesine olanak tanıyan kullanımdan sonra kullanım sorunudur ( Web içeriği).
Apple, macOS Ventura 13.4, iOS ve iPadOS 16.5, tvOS 16.5, watchOS 9.5 ve Safari 16.5’teki üç sıfır günü iyileştirilmiş sınır kontrolleri, giriş doğrulama ve bellek yönetimi ile ele aldı.
Hata eski ve yeni modelleri etkilediğinden, etkilenen cihazların listesi oldukça kapsamlıdır ve şunları içerir:
- iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil), iPod touch (7. nesil) ve iPhone 8 ve sonrası
- iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası
- macOS Big Sur, Monterey ve Ventura çalıştıran Mac’ler
- Apple Watch Series 4 ve sonrası
- Apple TV 4K (tüm modeller) ve Apple TV HD
Şirket ayrıca CVE-2023-28204 ve CVE-2023-32373’ün (anonim araştırmacılar tarafından bildirildi) ilk olarak 1 Mayıs’ta yayınlanan iOS 16.4.1 ve macOS 13.3.1 cihazları için Rapid Security Response (RSR) yamaları ile ele alındığını açıkladı.
Bir Apple sözcüsü, Mayıs RSR güncellemeleriyle hangi kusurların giderildiği konusunda o sırada BleepingComputer ile iletişime geçtiğinde daha fazla ayrıntı talebine yanıt vermedi.
2023’ün başından bu yana altı sıfır gün yamalı
Apple, bugün yama yaptığı üç sıfırıncı günün istismar edildiğinin farkında olduğunu söylerken, bu saldırılarla ilgili herhangi bir bilgi paylaşmadı.
Ancak bugünkü tavsiyeler, CVE-2023-32409’un Google’ın Tehdit Analizi Grubu’ndan Clément Lecigne ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’ndan Donncha Ó Cearbhaill tarafından bildirildiğini ortaya koyuyor.
İki araştırmacının parçası olduğu kuruluşlar, politikacıların, gazetecilerin, muhaliflerin ve daha fazlasının akıllı telefonlarına ve bilgisayarlarına ücretli casus yazılım yerleştirmek için sıfırıncı gün hatalarından yararlanan devlet destekli kampanyaların ayrıntılarını düzenli olarak ifşa ediyor.
Nisan ayında Apple, Android, iOS ve Chrome sıfır-gün ve n-gün açıklarından yararlanma zincirlerinin diğer iki sıfır-gün (CVE-2023-28206 ve CVE-2023-28205) parçasını düzeltti. dünya çapındaki yüksek riskli hedeflerin cihazlarına ticari casus yazılım dağıtın.
Şubat ayında Apple, güvenlik açığı bulunan iPhone’lar, iPad’ler ve Mac’lerde kod yürütme elde etmek için saldırılarda istismar edilen bir WebKit sıfır gün (CVE-2023-23529) sorununu ele aldı.