Apple, WebKit güvenlik güncellemelerinin bazı sitelerde gezinmeyi bozduğunu doğruladı


Elma

Apple bugün, saldırılarda kullanılan sıfırıncı gün hatasını gidermek için Pazartesi günü yayınlanan acil durum güvenlik güncellemelerinin bazı web sitelerinde gezinmeyi de bozduğunu doğruladı. Şirket, bu bilinen sorunu çözmek için yakında yenilerinin piyasaya sürüleceğini söylüyor.

Apple, etkilenen web sitelerinin neden doğru şekilde oluşturulmasının engellendiğini açıklamasa da, bildirildiğine göre bu, bazı hizmetlerin kullanıcı-aracı algılaması (ör. cihazlar.

Örneğin, bir iOS cihazında RSR güncellemelerini uyguladıktan sonra, “(a)” dizesini içeren yeni kullanıcı aracısı “Mozilla/5.0 (iPhone; Mac OS X gibi CPU iPhone OS 16_5_1) AppleWebKit/605.1.15 (KHTML, Gecko gibi) Version/16.5.2 (a) Mobile/15E148 Safari/604.1,”, bu da web sitelerinin onu geçerli bir Safari sürümü olarak algılamasını ve böylece tarayıcının desteklenmeyen hata mesajlarını görüntülemesini engeller.

Şirket Salı günü yayınlanan bir destek belgesinde, “Apple, son Hızlı Güvenlik Yanıtlarının bazı web sitelerinin düzgün görüntülenmesini engelleyebileceği bir sorunun farkındadır” dedi.

“Hızlı Güvenlik Yanıtları iOS 16.5.1 (b), iPadOS 16.5.1 (b) ve macOS 13.4.1 (b), bu sorunu çözmek için yakında kullanıma sunulacak.”

Şirket, buggy güvenlik güncellemelerini zaten uygulamış olan müşterilere, web’de gezinirken sorun yaşıyorlarsa bunları kaldırmalarını tavsiye ediyor.

iPhone veya iPad cihazlarda, bunu “Güvenlik Yanıtını Kaldır”a ve ardından Ayarlar > Hakkında > iOS Sürümü’nden onaylamak için “Kaldır”a dokunarak yapabilirsiniz.

Mac kullanıcıları,  menüsünü açıp ‘Bu Mac Hakkında’ bölümünde Daha Fazla Bilgi’yi tıklayarak RSR güncellemelerini kaldırabilir. Oradayken, macOS altındaki sürüm numarasının yanındaki Bilgi (i) düğmesini ve ardından ‘Kaldır’ ve ‘Yeniden Başlat’ı tıklamanız gerekir.

macOS 13.4.1 (a) RSR yaması
macOS 13.4.1 (a) RSR yaması (BleepingComputer)

Apple’ın WebKit tarayıcı motorunda (CVE-2023-37450 olarak izlenen) sıfır gün açığı bulundu ve saldırganların, kötü amaçlarla oluşturulmuş içerik içeren web sayfalarını açmaları için hedefleri kandırarak keyfi kod yürütmesine olanak tanıyor.

Şirket, dünkü acil durum güvenlik güncellemelerinde yamalanan CVE-2023-37450 güvenlik açığını açıklayan iOS ve macOS tavsiyelerinde “Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır” dedi.

Apple, müşterileri RSR yamalarının teslim edildiği cihazlarda “Bu Hızlı Güvenlik Yanıtı, önemli güvenlik düzeltmeleri sağlar ve tüm kullanıcılar için önerilir.”

Yılın başından bu yana Apple, iPhone, Mac veya iPad’leri hacklemek için vahşi ortamda istismar edilen toplam on sıfır gün kusurunu yamaladı.

Örneğin, bu ayın başlarında Apple, iMessage sıfır tıklama açıklarından yararlanma yoluyla iPhone’lara Triangulation casus yazılımını yüklemek için yapılan saldırılarda kötüye kullanılan üç sıfır günü (CVE-2023-32434, CVE-2023-32435 ve CVE-2023-32439) ele aldı.

Bundan önce, şirket ayrıca yama yaptı:

  • Mayıs ayında üç sıfır gün daha (CVE-2023-32409, CVE-2023-28204 ve CVE-2023-32373), ilki Uluslararası Af Örgütü Güvenlik Laboratuvarı ve Google Tehdit Analizi Grubu araştırmacıları tarafından rapor edildi ve muhtemelen paralı askerlere yönelik casus yazılım yüklemek için kullanıldı.
  • Nisan ayındaki diğer iki sıfır gün (CVE-2023-28206 ve CVE-2023-28205), yüksek düzeydeki cihazlara casus yazılım dağıtmak için Android, iOS ve Chrome sıfır gün ve n gün açıklarından yararlanma zincirlerinin bir parçası olarak kullanıldı. -risk hedefleri.
  • ve Şubat ayında başka bir WebKit sıfır gün (CVE-2023-23529), güvenlik açığı bulunan iPhone’lar, iPad’ler ve Mac’lerde kod yürütme elde etmek için istismar edildi.



Source link