Apple, yaygın olarak kullanılan başka bir sıfır gün güvenlik açığını (CVE-2023-42824) düzeltmek amacıyla iOS ve iPadOS için bir güvenlik güncellemesi yayınladı.
CVE-2023-42824 Hakkında
CVE-2023-42824, yerel bir tehdit aktörünün etkilenen iPhone ve iPad’lerdeki ayrıcalıklarını yükseltmesine olanak tanıyan bir çekirdek güvenlik açığıdır.
Şirket, “Apple, bu sorunun iOS 16.6’dan önceki iOS sürümlerine karşı aktif olarak istismar edilmiş olabileceğine dair bir raporun farkında” dedi.
Güvenlik açığı aşağıdaki cihazları etkiler:
- iPhone XS ve sonraki modeller
- iPad Pro 12,9 inç 2. nesil ve sonraki modeller
- Pad Pro 10,5 inç
- iPad Pro 11 inç 1. nesil ve sonraki modeller
- iPad Air 3. nesil ve sonrası
- iPad 6. nesil ve sonrası
- iPad mini 5. nesil ve sonrası
Şirket, iOS 17.0.3 ve iPadOS 17.0.3 güncellemelerini yayınlayarak bu güvenlik açığını giderdi; bu güncellemeler aynı zamanda CVE-2023-5217’yi de kapsıyor; bu, libvpx video codec bileşeni kitaplığında vp8 kodlamasında rastgele kod yürütülmesine izin verebilecek bir arabellek taşması güvenlik açığıdır.
Apple, libvpx 1.13.1’e güncelleme yaparak arabellek taşması sorununu çözdü.
Sömürülen sıfır gün bolluğu
Geçtiğimiz ay boyunca Apple, aktif olarak yararlanılan bir dizi sıfır gün için düzeltmeler sundu.
CVE-2023-41064 ve CVE-2023-41061, NSO Group’un Pegasus casus yazılımını yüksek riskli iPhone kullanıcılarına dağıtmak için zincirlendi ve istismar edildi.
Her iki güvenlik açığı da Citizen Lab tarafından bildirildi ve hem iOS 16 hem de iOS 15 şubelerinde düzeltildi.
Eylül ayı sonlarında Citizen Lab, Google TAG ile birlikte iOS cihazlarını etkileyen üç sıfır gün güvenlik açığının (CVE-2023-41992, CVE-2023-41991, CVE-2023-41993) daha olduğunu bildirdi. Üç sıfır gün, Intellexa’nın Predator kötü amaçlı yazılımını hedeflenen iOS cihazlarına dağıtmak için bir istismar zincirinde kullanıldı.
Apple, iOS 17’de bu sorunları ele aldı ve yüksek riskli kullanıcılara ek koruma sağlayan bir güvenlik özelliği olan Kilitleme Modunda da güncellemeler yaptı.