Apple, kısa süre önce Apple Vision Pro karma gerçeklik kulaklığı için, kullanıcı gizliliği ve cihaz bütünlüğü açısından önemli sonuçlar doğurabilecek birçok kritik güvenlik açığını gideren VisionOS 2.1 güncellemesini kullanıma sundu.
Güncelleme, kötü niyetli aktörlerin rastgele kod yürütmesine, hassas verilere erişmesine veya sistem çökmelerine neden olmasına olanak verebilecek 25’ten fazla güvenlik sorununa yönelik düzeltmeler içeriyor.
Yamalanan en önemli güvenlik açıkları arasında, uygulamaların beklenmedik sistem sonlandırmasına veya çekirdek belleğinin bozulmasına neden olmasına olanak tanıyan çekirdek belleği bozulması sorunu yer alıyor.
Güncelleme aynı zamanda WebKit ile ilgili çeşitli güvenlik açıklarını da gideriyor; bunlar arasında kötü amaçlarla hazırlanmış web içeriği işlenirken beklenmeyen işlem çökmelerine yol açabilecek bir güvenlik açığı da bulunuyor.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Güvenlik Açıkları Düzeltildi
VisionOS 2.1 güncellemesi, çeşitli işletim sistemi bileşenlerinde tanımlanan çeşitli yüksek önemdeki güvenlik açıklarını hedef alıyor.
Ele alınan önemli sorunlardan biri, kötü amaçlı uygulamaların kullanıcının izni olmadan rastgele kısayollar çalıştırmasına olanak tanıyan ve potansiyel olarak hassas verilere yetkisiz erişime yol açabilen yol işleme sorunudur. Bu sorun, geliştirilmiş mantık kontrolleri (CVE-2024-44255) aracılığıyla çözülmüştür.
Bir diğer kritik güvenlik açığı, kötü amaçlı bir uygulamanın sembolik bağlantıların hatalı işlenmesi nedeniyle özel bilgilere erişebildiği CoreMedia Playback bileşeniyle ilgiliydi. Bu sorun, gelişmiş sembolik bağlantı yönetimi (CVE-2024-44273) ile giderilmiştir.
Uygulamaların hassas çekirdek durumlarını sızdırmasına izin verebilecek bir bilginin açığa çıkması sorunu da dahil olmak üzere, çekirdek düzeyindeki çeşitli güvenlik açıkları yamandı. Bu sorun, günlük girişlerine ilişkin özel verilerin iyileştirilmesi iyileştirilerek giderildi (CVE-2024-44239).
Ek olarak, IOSurface bileşeninde beklenmedik sistem sonlandırılmasına veya çekirdek belleğinin bozulmasına neden olabilecek bir serbest kullanımdan sonra kullanma sorunu, iyileştirilmiş bellek yönetimiyle düzeltildi (CVE-2024-44285).
Apple Vision Pro’daki Safari’yi destekleyen web motoru WebKit de önemli güncellemeler aldı. Kötü amaçlarla oluşturulmuş web içeriğini işlerken bellek bozulması ve İçerik Güvenliği Politikasının (CSP) uygulanmaması gibi sorunlar, iyileştirilmiş giriş doğrulama ve kontroller aracılığıyla giderildi (CVE-2024-44244, CVE-2024-44296).
Kullanıcı gizliliğini geliştirmek için Apple, veri sızıntısıyla ilgili çeşitli güvenlik açıklarını düzeltti. Örneğin, Kilit Ekranında kullanıcıların hassas bilgileri görüntülemesine olanak tanıyan bir hata, hassas verilerin daha iyi düzenlenmesiyle giderildi (CVE-2024-44262).
Benzer şekilde, Siri ve sistem günlüklerinde hassas kullanıcı verilerini açığa çıkarabilecek sorunlar, gelişmiş düzeltme ve doğrulama önlemleriyle çözüldü (CVE-2024-44194, CVE-2024-44278).
Diğer Önemli Düzeltmeler
Diğer önemli düzeltmeler şunları içerir:
- ImageIO: Sınır dışı okumalar ve hizmet reddi güvenlik açıkları da dahil olmak üzere görüntülerin işlenmesiyle ilgili birçok sorun, iyileştirilmiş giriş doğrulama ve sınır kontrolleriyle giderildi (CVE-2024-44215, CVE-2024-44297).
- Yönetilen Yapılandırma: Kötü amaçlı yedekleme dosyalarının korunan sistem dosyalarını değiştirmesine izin veren bir güvenlik açığı, sembolik bağlantıların iyileştirilmiş işlenmesiyle giderildi (CVE-2024-44258).
- Safari İndirmeleri: Saldırganların kötü amaçlı içerik indirmek için güven ilişkilerini kötüye kullanmasına olanak tanıyan bir sorun, iyileştirilmiş durum yönetimi aracılığıyla çözüldü (CVE-2024-44259).
Bu güvenlik risklerini azaltmak için Apple Vision Pro kullanıcılarının cihazlarını mümkün olan en kısa sürede VisionOS 2.1’e güncellemeleri şiddetle tavsiye edilir. Güncelleme, standart yazılım güncelleme işlemi yoluyla yapılabilir.
Apple’ın bu güvenlik açıklarını gidermeye yönelik proaktif yaklaşımı, şirketin özellikle karma gerçeklik gibi yeni gelişen teknolojilerde kullanıcılarının güvenliğini ve gizliliğini sağlama konusundaki kararlılığının altını çiziyor.
Apple, bu güvenlik açıklarının belirlenmesi ve rapor edilmesindeki rolleri nedeniyle aralarında Trend Micro Zero Day Initiative, CrowdStrike Counter Adversary Operations ve çeşitli bireysel araştırmacıların da bulunduğu çok sayıda güvenlik araştırmacısı ve ekibinin katkılarını takdir etti. Bu işbirlikçi çaba, Apple ekosisteminin güvenlik duruşunun korunması açısından çok önemlidir.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!