Apple, şirketin “son derece sofistike” saldırılarda kullanılmış olarak tanımladığı bir sıfır gün hatasını yama yapmak için acil güvenlik güncellemeleri yayınladı.
Güvenlik açığı CVE-2025-24201 olarak izlenir ve Apple’ın Safari Web tarayıcısı ve MacOS, iOS, Linux ve Windows’taki diğer birçok uygulama ve web tarayıcısı tarafından kullanılan WebKit çapraz platformlu web tarayıcısı motorunda bulunur.
İPhone üreticisi Salı günü yayınlanan güvenlik danışmanlarında, “Bu, iOS 17.2’de engellenen bir saldırı için ek bir düzeltme.” Dedi. “Apple, bu sorunun iOS 17.2’den önce iOS sürümlerinde belirli hedeflenen bireylere karşı son derece sofistike bir saldırıdan yararlanmış olabileceğine dair bir raporun farkında.”
Apple, saldırganların web içeriği sanal alanından kurtulmak için kötü niyetli web içeriği kullanarak CVE-2025-24201 güvenlik açığından yararlanabileceğini söyledi.
Şirket, iOS 18.3.2, iPados 18.3.2, MacOS Sequoia 15.3.2, Visionos 2.3.2 ve Safari 18.3.1’de yetkisiz eylemleri önlemek için bu sınır dışı yazma sorununu düzeltti.
Bu sıfır günden etkilenen cihazların listesi oldukça geniştir, çünkü hata daha eski ve yeni modelleri etkilediğinden, aşağıdakiler de dahil olmak üzere:
- iPhone Xs ve daha sonra,
- iPad Pro 13-inç, iPad Pro 12.9 inç 3. nesil ve daha sonra, iPad Pro 11-inç 1. nesil ve daha sonra, iPad Air 3. Nesil ve daha sonra, iPad 7. Nesil ve daha sonra ve iPad Mini 5. Nesil ve daha sonra
- MacOS Sequoia çalıştıran Mac’ler
- Apple Vision Pro
Apple, bu güvenlik açığının keşfini araştırmacılarından birine bağlamamıştır ve henüz ilişkilendirdiği “son derece sofistike” saldırılarla ilgili ayrıntılar yayınlamamıştır.
Sıfır gün hatası muhtemelen sadece hedeflenen saldırılarda kullanılmış olsa da, potansiyel olarak devam eden saldırı girişimlerini engellemek için bugünün güvenlik güncellemelerini mümkün olan en kısa sürede yüklemek şiddetle tavsiye edilir.
Bu güvenlik açığı ile Apple, yıl başından beri, ilk Ocak ayında (CVE-2025-24085) ve ikincisi Şubat ayında (CVE-2025-24200) üç sıfır gün sabitledi.
Geçen yıl, şirket Wild’da sömürülen altı sıfır gün daha yamaladı: ilk Ocak ayında, ikisi Mart ayında, Mayıs ayında dördüncü ve Kasım ayında iki tane daha.
Ancak, bir yıl önce Apple, aşağıdakiler dahil olmak üzere 20 sıfır günlük güvenlik açıkını yamaladı:
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.