Apple, iPhone’ları, iPad’leri ve Mac’leri hacklemek için yapılan saldırılarda kullanılan yeni bir sıfır gün güvenlik açığını gidermek için acil durum güvenlik güncellemeleri yayınladı.
Bugün yamalanan sıfır gün CVE-2023-23529 olarak izleniyor [1, 2] ve işletim sistemi çökmelerini tetiklemek ve güvenliği ihlal edilmiş cihazlarda kod yürütme elde etmek için istismar edilebilecek bir WebKit karışıklık sorunudur.
Başarılı bir istismar, saldırganların kötü amaçlı bir web sayfasını açtıktan sonra savunmasız iOS, iPadOS ve macOS sürümlerini çalıştıran cihazlarda rasgele kod yürütmesine olanak tanır (hata, macOS Big Sur ve Monterey’de Safari 16.3.1’i de etkiler).
Apple, sıfır günü açıklarken, “Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, rastgele kod yürütülmesine yol açabilir” dedi.
“Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkında.”
Apple, iOS 16.3.1, iPadOS 16.3.1 ve macOS Ventura 13.2.1’de geliştirilmiş kontrollerle CVE-2023-23529’u ele aldı.
Hata eski ve yeni modelleri etkilediğinden, etkilenen cihazların tam listesi oldukça kapsamlıdır ve şunları içerir:
- iPhone 8 ve sonrası
- iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası
- macOS Ventura çalıştıran Mac’ler
Bugün Apple ayrıca, Pangu Lab’den Xinru Chi ve Google Project Zero’dan Ned Williamson tarafından bildirilen, Mac’lerde ve iPhone’larda çekirdek ayrıcalıklarına sahip keyfi kodlara yol açabilecek ücretsiz bir kusurdan sonra (CVE-2023-23514) bir çekirdek kullanımını yamaladı.
İlk sıfır gün Apple tarafından bu yıl yamalandı
Şirket, vahşi istismar raporlarından haberdar olduğunu açıklasa da, bu saldırılarla ilgili henüz bilgi yayınlamadı.
Apple, bu bilgilere erişimi kısıtlayarak, daha fazla saldırganın savunmasız iPhone’ları, iPad’leri ve Mac’leri hedef alan kendi özel istismarlarını geliştirip dağıtmak için sıfırıncı günün ayrıntılarını öğrenmeden önce, mümkün olduğunca çok kullanıcının cihazlarını güncellemesine izin vermek istiyor.
Bu sıfır gün hatası muhtemelen yalnızca hedefli saldırılarda kullanılmış olsa da, olası saldırı girişimlerini engellemek için günümüzün acil durum güncellemelerini mümkün olan en kısa sürede yüklemeniz önemle tavsiye edilir.
Geçen ay Apple, Google’ın Tehdit Analizi Grubu’ndan Clément Lecigne tarafından keşfedilen uzaktan istismar edilebilir bir sıfır gün hatası için güvenlik yamalarını eski iPhone’lara ve iPad’lere de destekledi.