Apple, Safari web tarayıcısında bu yılki Pwn2Own Vancouver hackleme yarışması sırasında istismar edilen sıfır gün güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
CVE-2024-27834 olarak tanımlanan bu sorun, macOS Monterey ve macOS Ventura sistemlerindeki gelişmiş kontrollerle giderildi.
Master of Pwn kazananı Manfred Paul, bu güvenlik açığını Trend Micro’nun Zero Day Initiative işbirliğiyle bildirdi.
Apple Safari Sıfır Gün Kusurunun Detayları
Safari WebKit’teki güvenlik açığı CVE-2024-27834 olarak tanımlanıyor; burada rastgele okuma ve yazma yeteneğine sahip bir saldırgan, işaretçi kimlik doğrulamasını atlayabilir.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Apple, “Rastgele okuma ve yazma yeteneğine sahip bir saldırgan, İşaretçi Kimlik Doğrulamasını atlayabilir” dedi.
Bu güvenlik açığından başarıyla yararlanılırsa, saldırgan güvenlik önlemlerini atlayabilir, sisteme yetkisiz erişim sağlayabilir veya sistemde kötü amaçlı kod çalıştırabilir.
Pwn2Own sırasında Manfred Paul, uzaktan kod yürütme (RCE) elde etmek ve 60.000 $ kazanmak için bir tamsayı yetersiz akış kusurunu kullandı.
Bu sorun iOS 17.5 ve iPadOS 17.5, tvOS 17.5, Safari 17.5, watchOS 10.5 ve macOS Sonoma 14.5’te düzeltilmiştir.
Şimdi güncelle!
Bu güvenlik açığını azaltmak için iOS 17.5, iPadOS 17.5, tvOS 17.5, Safari 17.5, watchOS 10.5 veya macOS Sonoma 14.5’in en son yamalı sürümlerine güncelleyin.
Apple, Mayıs yayın döngüsünü başlatmak amacıyla iOS ve macOS işletim sistemleri için çeşitli yükseltmeler yayınladı. iOS 16.7.8 ve iPadOS 16.7.8 için en dikkat çekici güncelleme CVE-2024-23296’yı ele alıyor.
Etkilenen işletim sistemine sahip bir cihaz kullanıyorsanız güncellemeyi aldığınızdan emin olun. Bu kusurun aktif saldırı altında olduğu bildiriliyor.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free