Apple, Google Chrome kullanıcılarını hedefleyen sıfır günlük saldırılarda kullanılan yüksek şiddetli bir güvenlik açığını ele almak için güvenlik güncellemeleri yayınladı.
CVE-2025-6558 olarak izlenen güvenlik hatası, GPU komutlarını işleyen ve Direct3D, Metal, Vulkan ve OpenGL’ye çağrıları çeviren açıdaki (neredeyse yerel grafik katman motoru) açık kaynaklı grafik soyutlama katmanına güvenilmeyen girişin yanlış doğrulanmasından kaynaklanmaktadır.
Güvenlik açığı, uzak saldırganların özel olarak hazırlanmış HTML sayfaları aracılığıyla tarayıcının GPU işlemi içinde keyfi kod yürütmelerini sağlar ve potansiyel olarak tarayıcı işlemlerini temel işletim sisteminden izole eden kum havuzundan kaçmalarına izin verir.
Google müşterilerini devlet destekli saldırılara karşı savunmaya adanmış bir güvenlik uzmanları ekibi olan Google’ın Tehdit Analiz Grubu’ndan (TAG) Vlad Stolyarov ve Clément Lecigne, Haziran ayında CVE-2025-6558’i keşfetti ve 15 Temmuz’da yamalayan Google Chrome ekibine bildirdi.
Google henüz bu saldırılar hakkında daha fazla bilgi vermemiş olsa da, Google Tag, muhalifler, muhalefet politikacıları ve gazeteciler de dahil olmak üzere yüksek riskli bireylerin cihazlarına casus yazılımlar kullanmayı amaçlayan hedefe yönelik tehdit aktörleri tarafından kullanılan sıfır gün kusurlarını sık sık keşfeder.
Salı günü Apple, aşağıdaki yazılım ve cihazlar için CVE-2025-6558 güvenlik açığını ele almak için WebKit Güvenlik Güncellemeleri yayınladı:
- iOS 18.6 ve iPados 18.6: iPhone XS ve daha sonra, iPad Pro 13-inç, iPad Pro 12.9 inç 3. nesil ve daha sonra, iPad Pro 11 inç 1. nesil ve daha sonra, iPad Air 3. Nesil ve daha sonra, iPad 7. Nesil ve daha sonra ve iPad Mini 5. nesil ve daha sonra
- MacOS Sequoia 15.6: MacOS Sequoia çalıştıran Mac’ler
- iPados 17.7.9: iPad Pro 12.9 inç 2. nesil, iPad Pro 10.5 inç ve iPad 6. Nesil
- TVOS 18.6: Apple TV HD ve Apple TV 4K (tüm modeller)
- Visionos 2.6: Apple Vision Pro
- Watchos 11.6: Apple Watch Serisi 6 ve üstü
CVE-2025-6558 başarılı sömürünün etkisini açıklarken Apple, “Kötü bir şekilde hazırlanmış web içeriğinin işlenmesi beklenmedik bir safari kazasına yol açabilir.” “Bu açık kaynak kodunda bir güvenlik açığı ve Apple yazılımı etkilenen projeler arasında.”
22 Temmuz’da, ABD Siber Savunma Ajansı olan Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bu güvenlik hatasını da saldırılarda kullanıldığı bilinen güvenlik açıkları kataloğuna ekledi ve federal ajansların yazılımlarını 12 Ağustos’a kadar düzeltti.
Federal ajansları sistemlerini güvence altına almayı zorunlu kılan Bağlayıcı Operasyonel Direktif (BOD) 22-01, CISA tüm ağ savunucularına CVE-2025-6558 güvenlik açığını mümkün olan en kısa sürede yamalamaya öncelik vermelerini tavsiye etti.
Siber güvenlik ajansı geçen hafta, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır.”
Apple ayrıca, Ocak ayında bir sıfır gün (CVE-2025-24085), Mart ayında üçte biri (CVE-2025-24200), CVE-2025-24200), CVE-2025-24200) ve Nisan ayında (CVE-2025-24200) ve iki tane daha (CVE-2025-24200) ve iki tane daha (CVE-2025-24200) ve iki tane daha (CVE-2025-24085) yamaladı (CVE-2025-24085) ve Nisan ayında (CVE-2025-24200).
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.