Apple, iOS ve iPadOS, macOS, tvOS ve watchOS için birçok güvenlik açığı için düzeltmeler sunan güvenlik güncellemeleri yayınladı, ancak en önemlisi, “aktif olarak istismar edilmiş olabilecek” bir WebKit 0 günlük CVE-2023-32409 için.
Güncellemelere eşlik eden notlar, Apple’ın bu ayın başlarında yayınlanan ilk Rapid Security Response güncellemesinin iki WebKit 0-day (CVE-2023-28204 ve CVE-2023-32373) için düzeltmeler içerdiğini de ortaya koydu.
Güvenlik açıkları hakkında
CVE-2023-28204 ve CVE-2023-32373, Safari’ye ve iOS ve iPadOS’teki tüm web tarayıcılarına güç veren tarayıcı motoru olan ve özel hazırlanmış web içeriğini işleyen WebKit tarafından tetiklenebilir. İlki, hassas bilgilerin ifşa edilmesine, ikincisi ise keyfi kod yürütülmesine yol açabilir. Her ikisi de isimsiz bir araştırmacı tarafından işaretlendi.
CVE-2023-32409, uzaktaki bir saldırganın “Web İçeriği sanal alanından çıkmasına” izin verebilir. Google’ın Tehdit Analizi Grubu’ndan Clément Lecigne ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’ndan Donncha Ó Cearbhaill tarafından bildirildi.
İki araştırmacı, geçen ay macOS, iOS ve iPadOS’ta aktif olarak yararlanılan iki sıfır gün güvenlik açığını bildirdikleri için kredilendirildi, ancak bu saldırılarla ilgili ayrıntılar hala kamuya açık değil.
Bu son WebKit sıfır günlerinin istismar edildiği saldırılarla ilgili ayrıntılar da açıklanmadı, çünkü Apple iş bunları paylaşmaya geldiğinde ağzı sıkıdır.
iDevices kullanıcılarının aşağıdakilere yükseltmeleri önerilir:
Üç WebKit sıfır günü için düzeltmeler eski macOS sürümlerinde mevcut değil, ancak Safari güncellemesinde bunlar var. Bunları çalıştırıyorsanız, Safari’yi güncelleyin.
Rapid Security Response güncellemeleri ayrıca yalnızca en son macOS, iOS ve iPadOS sürümleri için mevcuttur; bu, eski sürümlerin kullanıcılarının bu en son güncellemeleri mümkün olan en kısa sürede uygulamaları gerektiğinin bir başka nedenidir.