Apple, macOS Sequoia için “Intel tabanlı Mac sistemlerinde aktif olarak kullanılmış olabilecek” iki sıfır gün güvenlik açığını (CVE-2024-44309, CVE-2024-44308) düzelten acil durum güvenlik güncellemeleri yayınladı.
CVE-2024-44309 ve CVE-2024-44308 hakkında
CVE-2024-44309, Safari web tarayıcısında ve tüm iOS ve iPadOS web tarayıcılarında kullanılan tarayıcı motoru olan WebKit’i etkiler ve kötü amaçlarla hazırlanmış web içeriğini işlemek üzere yapıldığında tetiklenebilir. Siteler arası komut dosyası çalıştırma (XSS) saldırısını etkinleştirebilir.
CVE-2024-44308, WebKit için yerleşik JavaScript motoru olan JavaScriptCore’u etkiler ve aynı şekilde kötü niyetli olarak hazırlanmış web içeriği yoluyla da istismar edilebilir. Rastgele kod yürütülmesine yol açabilir.
Her iki güvenlik açığı da, kullanıcıları devlet destekli kötü amaçlı yazılım ve ticari casus yazılım saldırılarının yanı sıra finansal amaçlı saldırılar gibi gelişmiş kalıcı tehditlerden korumayı amaçlayan Google’ın Tehdit Analiz Grubu’ndan (TAG) güvenlik araştırmacıları Clément Lecigne ve Benoît Sevens tarafından bildirildi.
Apple, her zamanki gibi yamalı güvenlik açıklarından yararlanılan saldırılarla ilgili ayrıntı paylaşmadı. Google TAG genellikle bu tür ayrıntıları yamaların sağlanmasından aylar sonra açıklar.
Yine de tespit edilen saldırıların ayrım gözetmeksizin tüm Mac kullanıcılarını hedef almadığını, hedefli saldırılar için kusurlardan yararlandığını söylemek yanlış olmaz.
En kısa sürede güncelleyin!
Apple, Haziran 2006’da Mac’lerde Intel işlemcileri kullanmaya başladı ve 2020’de kendi silikonunu kullanmaya başladıktan sonra Haziran 2023’te bunların sevkiyatını tamamen durdurdu.
Bu iki güvenlik açığı “Intel tabanlı Mac sistemlerinde aktif olarak istismar edilmiş olabilir”, ancak bunun Apple tabanlı Mac’lerde istismar edilemeyeceği anlamına gelip gelmediği henüz belli değil.
Her durumda, tüm MacOS Sequoia kullanıcılarının sistemlerini en kısa sürede güncellemeleri gerekir.
Apple’ın mobil aygıtları (iPhone’lar, iPad’ler) ve karma gerçeklik kulaklığı (Vision Pro) Intel silikonunda çalışmazken, CVE-2024-44309 ve CVE-2024-44308 de Safari, VisionsOS, iOS ve iPadOS’ta düzeltildi Eski macOS şubelerini kullanan iPhone, iPad, Vision Pro ve Mac kullanıcılarını korumak için 18 ve 17.