Apple, belirli bireyleri hedef alan “son derece karmaşık bir saldırıda” istismar edilen iki sıfır gün güvenlik açığını düzeltmek için acil durum güncellemeleri yayınladı.
Sıfır günler, CVE-2025-43529 ve CVE-2025-14174 olarak izleniyor ve her ikisi de rapor edilen aynı istismara yanıt olarak yayınlandı.
Apple’ın güvenlik bülteninde “Apple, iOS 26’dan önceki iOS sürümlerinde bu sorundan belirli hedef bireylere karşı son derece karmaşık bir saldırıda yararlanılmış olabileceğine dair bir raporun farkındadır” ifadesi yer alıyor.
CVE-2025-43529, kötü amaçlarla hazırlanmış web içeriğini işleyerek yararlanılabilecek bir WebKit ücretsiz uzaktan kod yürütme kusurudur. Apple, kusurun Google’ın Tehdit Analiz Grubu tarafından keşfedildiğini söylüyor.
CVE-2025-14174, bellek bozulmasına yol açabilecek bir WebKit bellek bozulması kusurudur. Apple, kusurun hem Apple hem de Google’ın Tehdit Analizi Grubu tarafından keşfedildiğini söylüyor.
Her iki kusurdan da etkilenen cihazlar şunları içerir:
-
iPhone 11 ve sonrası
-
iPad Pro 12,9 inç (3. nesil ve sonrası)
-
iPad Pro 11 inç (1. nesil ve sonrası)
-
iPad Air (3. nesil ve sonrası)
-
iPad (8. nesil ve sonrası)
-
iPad mini (5. nesil ve sonrası)
Çarşamba günü Google, Google Chrome’daki gizemli bir sıfır gün kusurunu düzeltti ve bunu başlangıçta şu şekilde etiketledi:[N/A][466192044] Yüksek: Koordinasyon altında.”
Ancak Google artık hatayı “CVE-2025-14174: ANGLE’da sınır dışı bellek erişimi” olarak tanımlayacak şekilde uyarı metnini güncelledi; bu, Apple tarafından düzeltilen CVE’nin aynısıdır ve iki şirket arasındaki koordineli açıklamayı gösterir.
Apple, iOS 26’dan önceki iOS sürümlerini çalıştıran kişileri hedef aldığını söylemenin ötesinde saldırılarla ilgili teknik ayrıntıları açıklamadı.
Her iki kusur da Google Chrome’un iOS’ta kullandığı WebKit’i etkilediğinden, etkinlik yüksek oranda hedeflenen casus yazılım saldırılarıyla tutarlıdır.
Bu kusurlardan yalnızca hedefli saldırılarda yararlanılsa da, devam eden yararlanma riskini azaltmak için kullanıcıların en son güvenlik güncellemelerini derhal yüklemeleri önemle tavsiye edilir.
Bu düzeltmelerle Apple, Ocak’ta CVE-2025-24085, Şubat’ta CVE-2025-24200, Mart’ta CVE-2025-24201 ve Nisan’da iki tane daha (CVE-2025-31200 ve CVE-2025-31201) ile başlayarak 2025’te yaygın olarak kullanılan yedi sıfır gün güvenlik açığını yamaladı.
Eylül ayında Apple, iOS 15.8.5 / 16.7.12 ve iPadOS 15.8.5 / 16.7.12 çalıştıran eski cihazlar için CVE-2025-43300 olarak sıfır gün takibine yönelik bir düzeltmeyi de destekledi.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.