Apple, biri kurbanın kullanıcı etkileşimi olmadan kötü amaçlı bir iMessage tarafından etkilenmesine izin veren, istismar edilen üç sıfır gün güvenlik açığı için düzeltmeler yaptı.
Sıfır gün güvenlik açıklarından ikisi, CVE-2023-32434 ve CVE-2023-32435, hedef cihazlara casus yazılım bırakma kampanyasında kullanılıyor.
CVE-2023-32434, Apple’ın “bir uygulamanın çekirdek ayrıcalıklarıyla rasgele kod çalıştırabileceğini” söylediği bir çekirdek hatasıdır.
“Apple, bu sorunun iOS 15.7’den önce yayınlanan iOS sürümlerinde aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır” dedi.
CVE-2023-32435, bir cihaz web içeriğini işlerken uzaktan kod yürütmeye (RCE) vektör sunan bir Webkit hatasıdır. Yine, Apple aktif sömürü konusunda uyarıldı.
Hataların keşfi, bu blog yazısında hataların Triangulation casus yazılımını dağıtmak için kullanıldığını açıklayan Kaspersky’den Georgy Kucherin, Leonid Bezvershenko ve Boris Larin’e atfediliyor.
Kaspersky, “TriangleDB olarak adlandırdığımız implant, saldırganlar bir çekirdek güvenlik açığından yararlanarak hedef iOS cihazında kök ayrıcalıkları elde ettikten sonra konuşlandırılıyor” dedi.
“Hafızada dağıtılır, yani cihaz yeniden başlatıldığında implantın tüm izleri kaybolur.
“Bu nedenle, kurban cihazını yeniden başlatırsa, saldırganların kötü amaçlı bir ek içeren bir iMessage göndererek cihazı yeniden bulaştırması ve böylece tüm istismar zincirini yeniden başlatması gerekir.”
Kaspersky tarafından analiz edilen implant, dosya sistemi etkileşimi (dosya oluşturma, değiştirme, sızdırma ve kaldırma) için komutlara sahiptir; süreç etkileşimi (listeleme ve sonlandırma süreçleri); anahtarlık erişimi; kullanıcının konumunu izleme; ve diğer yürütülebilir dosyaları çalıştırma.
Çekirdek güvenlik açığı watchOS 8.8.1 ve 9.5.2, macOS Big Sur 11.7.8; macOS Big Sur 11.7.8, Monterey 12.6.7, iOS 16.5.1 ve iPadOS 16.5.1.
macOS Ventura 13.4.1, iOS 15.7.7 ve iPadOS 15.7.7’de hem çekirdek hatası hem de Webkit hatası bulunur.
Apple’ın bugün yayınladığı yamalar, hazırlanmış web içeriği tarafından tetiklenebilen ve kötüye kullanılmış olabilecek başka bir RCE olan CVE-2023-32439 adlı başka bir Webkit sıfır günü için bir düzeltme içeriyor.
Düzeltme için GitHub çekme isteği, hatanın karma çakışma potansiyeli yarattığını, ancak bunun nasıl kötüye kullanılabileceğini açıklamadığını söyledi.