Apple, – popüler kültür referansını bağışlayın – her şey için her yerde aynı anda güvenlik güncellemeleri yayınladı ve eski iPhone ve iPad kullanıcıları için yaygın olarak kullanılan WebKit güvenlik açığını (CVE-2023-23529) düzeltti.
Bu en son güvenlik güncelleştirmeleri grubu, iOS ve iPad 16.x ve 15.x dallarını hedefler; macOS Big Sur, Monterey ve Ventura; watchOS ve tvOS; Safari; ve bağımsız bir bilgisayar monitörü / harici ekran olan Studio Display.
Eski iPhone’lar için CVE-2023-23529 düzeltmesi
Sunulanlar arasında şu anda en önemli düzeltme, WebKit tarayıcı motorunda kötü amaçlarla oluşturulmuş web içeriği tarafından tetiklenebilen ve sonuçta kod yürütülmesine izin verebilen bir tür karışıklığı sorunu olan CVE-2023-23529 için olan düzeltmedir.
Anonim bir araştırmacı tarafından bildirilen kusur “aktif olarak kullanılmış olabilir” (Apple’a göre) ve ilk olarak Şubat 2022’de iOS 16.3.1 ve iPadOS 16.3.1, macOS Ventura 13.2.1 ve Safari 16.3.1’de düzeltildi. .
Bu açıktan yararlanan belirli saldırılarla ilgili ayrıntılar henüz genel olarak paylaşılmadı, ancak iPhone 6s, 7, SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil) cihazlarının kullanıcılarına tavsiye edilir. güncellemeyi mümkün olan en kısa sürede uygulayın.
Dikkat edilmesi gereken diğer güvenlik açıkları
Safari ve macOS Ventura güncellemelerinde ek WebKit kusurları giderildi. Bu Pazartesi günü düzeltilen en dikkat çekici (kritik olmasa da) güvenlik açıkları arasında şunlar yer alıyor:
- CVE-2023-27951, bir arşiv dosyasıyla tetiklenebilen Gatekeeper atlama kusuru
- CVE-2023-23537, Find My bileşeninde hassas konum bilgilerini okumak için bir uygulama tarafından istismar edilebilecek bir gizlilik sorunu
- CVE-2023-27965, bir uygulamanın çekirdek ayrıcalıklarıyla rasgele kod yürütmesine izin verebilecek bir bellek bozulması sorunu
CVE-2023-27965, macOS Ventura ve Studio Display’in üretici yazılımı güncellemesinde düzeltildi.
Sophos’tan Paul Ducklin, “Görünüşe göre, macOS Ventura kullanıyorsanız ve Mac’inizi bir Studio Ekranına bağladıysanız, yalnızca Ventura işletim sisteminin kendisini güncellemeniz sizi sistem düzeyinde olası saldırılara karşı korumak için yeterli değil,” dedi. Asya Pasifik bölgesi Teknoloji Başkanı.
Ayrıca, güncellemeyi hemen veya bir süre uygulayamayacak olan kullanıcılar için (yani, bir PoC herkese açık olarak yayınlanmadan veya suçlular kusurdan nasıl yararlanılacağını çözmeden önce) güvenlik odaklı bir Studio Display güncelleme sürecini tanımladı.