Araştırmacılar, bir Apple sıfır gün güvenlik açığı da dahil olmak üzere birçok hatayı tespit etti ve uyardı. Apple, çeşitli platformlarda önemli güvenlik güncellemeleri dağıtarak kullanıcılarını korumak için hızlı adımlar attı.
Bu güncellemeler iOS, iPadOS, macOS, tvOS, watchOS ve Safari’yi kapsıyor ve aktif olarak istismar edilen bir sıfır gün hatası da dahil olmak üzere birden çok sıfır gün Apple güvenlik açığını ele alıyor.
Bunların arasında, çekirdekte bulunan CVE-2023-38606 olarak izlenen bir Apple sıfır gün güvenlik açığı da bulunuyor. Kötü amaçlı uygulamaların hassas çekirdek durumunu potansiyel olarak manipüle etmesine izin verebilir.
Teknoloji devi, kullanıcı korumasını desteklemek için iyileştirilmiş durum yönetimiyle bu sorunu derhal ele aldı.
Yeni Apple sıfır gün güvenlik açığı nedir?
Teknoloji devi, Apple’a özgü bu sıfır gün güvenlik açığı kusurunun, iOS 15.7.1’den önce yayınlanan iOS sürümlerinde zaten kullanılmış olabileceğini kabul etti.
Apple’ın bu güvenlik açıklarına karşı koymak için şirket, ekosistemini olası saldırılara karşı güçlendirmek için gerekli yamaları kullanıma sundu.
İlginçtir ki bu, Apple’ın 2019’dan beri sıfır tıklamalı açıklardan yararlanma zinciri kullanan son derece gelişmiş mobil siber casusluk kampanyası “Operation Triangulation” ile bağlantılı üçüncü güvenlik açığıdır.
Önceki sıfır günlük Apple güvenlik açıkları, CVE-2023-32434 ve CVE-2023-32435, önceki ay Apple tarafından başarıyla yamalandı ve bu, şirketin güvenlik taahhüdünü ve ortaya çıkan tehditlere zamanında yanıt verme taahhüdünü vurguladı.
Ek olarak, Apple’ın “Hızlı Yanıt” yaklaşımının, casus yazılım saldırılarıyla ilişkili riskleri azaltmada önemli olduğu kanıtlanmıştır.
Son zamanlarda, şirket zaten istismar edilmiş olan bir web tarama güvenlik açığını gidermek için acil bir hata düzeltmesi yayınladı.
Yama, web içeriğini işlerken rastgele kod yürütülmesini önlemek için tasarlanmıştır.
Bu hızlı eylem, sorunu keşfeden ve bildiren isimsiz bir araştırmacının çabaları sayesinde, kullanıcıları WebKit bileşenindeki olası sıfırıncı gün Apple güvenlik açıklarından korumayı amaçlıyordu.
Apple sıfır gün güvenlik açığı ve daha fazlası: Hataları düzeltme
Apple’ın en son güvenlik güncellemeleri, macOS Big Sur ve macOS Monterey’i kapsayan çeşitli bileşenleri kapsar.
Bu güncellemeler, Web içeriğini işlerken Aynı Kaynak Politikasının atlanması, iyileştirilmiş bellek kullanımı ve rastgele kod yürütülmesini ve hassas bilgilerin ifşa edilmesini önlemek için kontrollerle ilgili sorunları çözer.
Safari 16.6, macOS Big Sur ve macOS Monterey için çeşitli güncellemeler ve güvenlik yamaları içerir.
Bu güncellemeler arasında, web içeriği işlemenin güvenliğini ve Same Origin Policy ile etkileşimleri etkileyebilecek sıfır günlük Apple güvenlik açıklarına yönelik düzeltmeler yer alıyor. Ele alınan sorunların ayrıntıları aşağıdadır:
- CVE-2023-38572: Bir web sitesinin Aynı Kaynak Politikasını atlamasına izin veren bir güvenlik açığı. Bu sorun, Suma Soft Pvt.’den Narendra Bhati tarafından sorumlu bir şekilde ifşa edildi. Ltd, Pune – Hindistan ve iyileştirilmiş kontrollerle düzeltildi. (WebKit Bugzilla: 256549)
- CVE-2023-38594: Rastgele kod yürütülmesine yol açabilecek, web içeriği işlemeyle ilgili bir güvenlik açığı. Bu sorun Yuhao Hu tarafından belirlendi ve bildirildi. Ek olarak, isimsiz bir araştırmacı olan Jiming Wang ve Jikai Ren, açıklamaya dahil oldukları için kredilendirildi. Denetimler iyileştirilerek sorun giderildi. (WebKit Bugzilla: 256865, 256573)
- CVE-2023-38600: Web içeriği işlemeyi etkileyen ve rastgele kod yürütülmesine yol açabilecek başka bir güvenlik açığı. Bu sorun, Trend Micro Zero Day Initiative ile çalışan kimliği belirsiz bir kişi tarafından keşfedildi. Sorun çözüldü ve bellek kullanımında gerekli iyileştirmeler uygulandı. (WebKit Bugzilla: 257387)
- CVE-2023-38611: WebKit İşlem Modelinde, web içeriğini işlerken rastgele kod yürütülmesine de neden olabilecek bir güvenlik açığı. Bu sorun, Francisco Alonso (@revskills) tarafından sorumlu bir şekilde bildirildi ve sorunu çözmek için gerekli kontroller yapıldı. (WebKit Bugzilla: 258058)
- CVE-2023-38597: macOS Big Sur ve macOS Monterey için Web Inspector’da bulunan ve web içeriği işleme sırasında hassas bilgileri potansiyel olarak ifşa edebilecek bir güvenlik açığı. Sorun, Cross Republic’ten 이준성 (Junsung Lee) tarafından belirlendi ve sorumlu bir şekilde açıklandı ve iyileştirilmiş kontrollerle giderildi. (WebKit Bugzilla: 258100)
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.