Apple, yeni açıklanan dört kusura karşı koruma sağlamak için mobil iOS ve iPadOS işletim sistemlerine yamalar sundu; bunlardan ikisi sıfır gün güvenlik açığı olarak aktif olarak istismar ediliyor. Gelecekteki kuantum siber saldırılara karşı iPhone ve iPad varlıkları.
İki sıfır gün, CVE-2024-23225 ve CVE-2024-23296 olarak izlenir. Bunlardan ilki, keyfi çekirdek okuma-yazma yeteneği elde eden bir saldırganın çekirdek bellek korumalarını atlayabileceği, aygıt çekirdeğindeki bir bellek bozulması sorunudur. Apple AirPod, Apple Pencil ve Smart Keyboard Folio gibi çeşitli Apple çevre birimlerinde kullanılan gerçek zamanlı işletim sistemi olan RTKit'teki ikincisi ise çekirdeği aynı şekilde etkiliyor.
Üçüncü güvenlik açığı, bir uygulamanın CVE-2024-23243 olarak takip edilen ve Bükreş, Romanya'daki Tudor Vianu Ulusal Bilgisayar Bilimleri Lisesi'nden Cristian Dinca'ya atfedilen kullanıcının konum verilerini okuyabilmesine neden olan bir erişilebilirlik ve gizlilik sorunudur.
Dördüncü ve son güvenlik açığı, Safari Özel Tarama'yı etkileyen bir mantık sorunudur; bu sorun sayesinde, bir kullanıcının Kilitli Özel Tarama özelliği etkinken sekme grupları arasında geçiş yaparken kilitli tarayıcı sekmeleri kısa süreliğine görünür hale gelebilir. CVE-2024-23256 olarak takip ediliyor ve araştırmacı Om Kothawade'e atfediliyor.
Güvenlik güncellemelerinde her zaman olduğu gibi Apple, düzeltilen sorunlardan herhangi birine ilişkin daha fazla teknik ayrıntı veya istismar sunmadı.
Yama yönetimi uzmanı Action1'in kurucusu ve başkanı Mike Walters şunları söyledi: “Apple'ın iOS için acil durum güncellemesi, iPhone'lara yönelik hedefli saldırılarda kullanılan ve görünüşe göre casus yazılımlarla ilgili olan iki sıfır gün güvenlik açığına yönelik düzeltmelerle birlikte kullanıma sunuldu. Sıfır gün sayısı Elma'Bu yılki performans rekoru artmaya başlıyor ve her ne kadar geçen yılın rekoru olan 20'den hala çok uzakta olsa da, hız belli.
“Etkilenenlerin listesi Elma cihazlar oldukça kapsamlıdır ve iPhone XS, iPhone 8, iPhone X, 5. nesil iPad, iPad Pro 9.7 inç, iPad Pro 12.9 inç 1. ve 2. nesil, iPad Pro 10.5 inç, iPad Pro 11 inç 1. nesil aygıtların tamamını içerir , iPad Air 3. nesil, iPad 6. nesil, iPad mini 5. nesil ve daha yeni modeller” diye ekledi. “Güncellemeleri mümkün olan en kısa sürede uygulamanız önemle tavsiye edilir.”
Ne büyük bir sıçrama
Daha geniş kapsamlı iOS 17.4 güncellemesi, Apple için siber alanda önemli bir an; yeni bir iMessage güvenlik protokolü olan PQ3'ü, cihazlarında uçtan uca güvenli mesajlaşmayı geliştiren bir kuantum sonrası şifreleme protokolü sunuyor.
Jamf'in stratejiden sorumlu başkan yardımcısı Michael Covington, bunu şimdiye kadar görülen iPhone güvenliğine yönelik en “temel” güncellemelerden biri olarak nitelendirdi. “[It] mesajların yeni nesil bilgisayar korsanlığı araçlarından nasıl korunacağı konusunda büyük bir ilerleme sağlıyor” dedi.
“PQ3 ile Apple'ın iMessage hizmetinin kullanıcıları, bugün gönderilen verilerin, gelecekte saldırganların kullanımına sunulacak kuantum bilgi işlem gücü kullanılarak gerçekleştirilen saldırılara dayanabileceğinden daha emin olabilirler. Bu özellik tek başına Apple'ın kullanıcı gizliliğine olan güçlü bağlılığının ve her zaman diğerlerinden önde olduğunun bir kanıtıdır.”
Rapid7 güvenlik şefi Jaya Baloo şunları ekledi: “Apple'ın kuantum sonrası kriptografi için PQ3 protokolünü kullanma hamlesi, güvenlikte ileriye doğru atılmış bir adımdır ve kuantum bilgisayarların gelecekte oluşturacağı tehdide karşı iletişimi korur.
“'Şimdi topla, şifresini sonra çöz' saldırıları ve 'Seviye 3' şifreleme gibi bir dizi harika özelliğe sahip; sırasıyla gelecekteki şifre çözme veya anahtar ihlaline rağmen verilerin güvende kalmasını sağlıyor. Bu aynı zamanda PQ3 sayesinde gizliliklerindeki iyileştirmelerden yararlanan dünya çapındaki kullanıcı topluluğu nedeniyle de büyük bir ilerlemedir.
“Apple'ın iMessage'ı iyileştirerek ve PQ3'ü ekleyerek herkes için güvenlik ve gizliliği iyileştirme hamlesinin, aynı zamanda daha fazla küresel tüketici şirketini kuantum sonrası bir geleceğe güvenlik ve mahremiyetimizi hazırlamaya teşvik edeceğini umuyoruz” diye ekledi.
iOS 17.4 ayrıca birçoğu Avrupa Birliği'nin Dijital Pazarlar Kanunu'na uymayı amaçlayan bir dizi başka özellik de içeriyor.
Bu değişiklikler arasında, üçüncü taraf geliştiricilerin, Apple'ın kendi iOS App Store sınırlamaları olmaksızın alternatif pazarlar oluşturma ve uygulama indirme olanağı sağlama yeteneği; Chrome veya Firefox gibi WebKit tabanlı olmayan diğer tarayıcıları kullanma yeteneği; ve geliştiricilerin iPhone'un mevcut NFC çipini, Apple Pay veya Apple Wallet kullanmayan temassız ödemeler için kullanmalarına olanak tanıyan bir uygulama programlama arayüzü.
Diğer küresel özellikler arasında Podcast uygulamasında ve Siri'de yeni çeviri seçenekleri, daha iyi pil ömrü bilgileri, gelişmiş müzik tanıma ve 100'den fazla emoji eklemesi yer alıyor.