Apple, saldırılarda yararlanılan ve tam yama uygulanmış iPhone, Mac ve iPad’leri etkileyen yeni bir sıfır gün hatasını gidermek için yeni bir Hızlı Güvenlik Yanıtı (RSR) güncellemesi yayınladı.
Anonim bir güvenlik araştırmacısı tarafından bildirilen CVE-2023-37450 güvenlik açığını açıklarken şirket, iOS ve macOS tavsiyelerinde “Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır” diyor.
Apple, RSR yamalarının sunulduğu sistemler hakkında “Bu Hızlı Güvenlik Yanıtı, önemli güvenlik düzeltmeleri sağlar ve tüm kullanıcılar için önerilir” uyarısında bulunuyor.
Bu destek belgesine göre RSR yamaları, iPhone, iPad ve Mac platformlarındaki güvenlik endişelerini gidermek için tasarlanmış kompakt güncellemeler olarak tanıtıldı ve büyük yazılım güncellemeleri arasında ortaya çıkan güvenlik sorunlarını çözme amacına hizmet ediyor.
Ayrıca, saldırılarda aktif olarak kullanılan güvenlik açıklarına karşı koymak için bazı bant dışı güvenlik güncellemeleri de kullanılabilir.
Otomatik güncellemeleri kapatırsanız veya önerildiğinde Hızlı Güvenlik Yanıtlarını yüklemezseniz, gelecekteki yazılım yükseltmelerinin bir parçası olarak cihazınıza yama uygulanır.
Bugünün acil durum yamaları listesi şunları içerir:
- macOS Ventura 13.4.1(a)
- iOS 16.5.1 (a)
- iPadOS 16.5.1 (a)
Açık, Apple tarafından geliştirilen WebKit tarayıcı motorunda bulundu ve saldırganların, kötü amaçlarla oluşturulmuş içerik içeren web sayfalarını açmaları için hedefleri kandırarak hedeflenen cihazlarda rasgele kod yürütmesine olanak tanıyor.
Şirket, istismar girişimlerini azaltmak için geliştirilmiş kontrollerle bu güvenlik zayıflığını giderdi.
Onuncu sıfır gün 2023’te yamalandı
Apple, 2023’ün başından bu yana iPhone’ları, Mac’leri veya iPad’leri hacklemek için yaygın olarak kullanılan on sıfır gün açığını yamaladı.
Bu ayın başlarında Apple, iMessage sıfır tıklama açıklarından yararlanma yoluyla iPhone’lara Triangulation casus yazılımını dağıtmak için istismar edilen üç sıfır günü (CVE-2023-32434, CVE-2023-32435 ve CVE-2023-32439) ele aldı.
Ayrıca Mayıs ayında üç sıfır günü daha (CVE-2023-32409, CVE-2023-28204 ve CVE-2023-32373) düzeltti. paralı casus yazılım.
Nisan ayında Apple, Android, iOS ve Chrome’un açıklardan yararlanma zincirlerinin bir parçası olarak kullanılan iki sıfır gün (CVE-2023-28206 ve CVE-2023-28205) sıfır-gün ve n-gün kusurlarını düzeltti. yüksek riskli hedeflere
Şubat ayında Apple, güvenlik açığı bulunan iPhone’lar, iPad’ler ve Mac’lerde kod yürütme elde etmek için istismar edilen başka bir sıfır gün WebKit’e (CVE-2023-23529) yama yaptı.