Apple, en son iPhone işletim sistemi iOS 26 için ilk güvenlik güncellemesini, tek bir orta yüzlük güvenlik açığını düzeltir, atanmış atama CVE-2025-43400, Apple işletim sistemlerinde yazı tipi işlemeyi sağlayan bir bileşen olan Apple FontParser’ı etkiledi.
Güvenlik maruziyeti yönetimi uzmanı Hackuity’de strateji başkan yardımcısı Sylvain Cortes, “FontParser yazı tipi dosyalarını yorumlayan sistemdir, bu nedenle karakterler uygulamalar, belgeler ve web arasında yorumlanabilir” dedi. “Bu dosyalar genellikle belgelerden, e -postalardan veya web sitelerinden otomatik olarak yüklendiğinden, buradaki güvenlik açıkları yüksek risktir” dedi.
CVE-2025-43400, savunmasız bir cihaz, aksi takdirde iyi huylu bir içerik parçasında gizlenmiş kötü niyetli hazırlanmış bir yazı tipini işlediğinde sömürülen sınır dışı bir yazma sorunudur. Etkilenen cihazlar, ani uygulama fesih veya işlem hafızası yolsuzluğu gibi beklenmedik davranışlar yaşayabilir.
Uygulama çökmeleri riskli olmaktan daha sıkıcı olsa da, süreç bellek bozulması özellikle tehlikelidir, çünkü doğru koşullar göz önüne alındığında, bir saldırganın yetkisiz sistem erişimi kazanmasını, hatta uzaktan kod uygulamasını (RCE) hatta daha da ileriye götürebilen davranışa yol açarak bir saldırı zincirinin bir unsurunu oluşturabilir.
SANS Teknoloji Enstitüsü’nden Johannes Ullrich’e göre, CVE-2025-43400’ün RCE için sömürü olup olmadığı belirsizdir, ancak CVE-2025-43400’den başarılı bir şekilde sömürülmesinin fidye yazılımı saldırılarına neden olma şansı devam etmektedir.
Tipik bir çıplak kemik duyurusunda-Apple, geniş kullanıcı tabanını hedeflemek için sömürülmeleri için mobil ürünlerindeki güvenlik açıkları hakkında çok fazla ayrıntı sunmuyor-tedarikçi, CVE-2025-43400’ün vahşi doğada kullanılıp kullanılmadığına dair hiçbir belirti vermedi.
Tarihsel olarak, Apple’ın mobil işletim sisteminde ortaya çıkan birçok güvenlik açıklığının önemli etkileri olmuştur, birçoğu casus yazılım yapımcıları ve hoş olmayan hükümetler tarafından hedeflenen casusluk ve gözetim faaliyetlerinde silahlandırılmıştır.
Cortes, “Vahşi doğada aktif bir sömürü gözlenmemiş olsa da, kullanıcılar ve işletmeler saldırılara maruz kalmayı en aza indirmek için tüm Apple cihazlarında en son güncellemeleri derhal uygulamalıdır” dedi.
Apple Cihaz Yönetim Uzmanı JAMF’de EMEIA Kıdemli Güvenlik Stratejisi Müdürü Adam Boynton, bu düşünceyi yineledi ve güvenlik yöneticilerini yanlış bir memnuniyet duygusu haline getirmemeye çağırdı.
“Sorun hizmet kesintilerine neden olma veya sistem istikrarını zayıflatma potansiyeline sahip olduğundan, en erken rahatlıkta iOS 26.0.1’e güncellemenizi şiddetle tavsiye ediyoruz” dedi. “Kuruluşlar, filo cihazlarının güncel tutulmasını, uyumluluğu zorlamasını ve işletim sistemi güncellemesi sunma durumunu izlemesini sağlamalıdır.”
Güncelleme, iOS 26’yı 26.0.1 sürümüne götürür ve her zamanki gibi, cihazları otomatik olarak uygulamayan kullanıcılar, cihaz ayarlarına, ardından genel, yazılım güncellemesine ve indirip yüklemeye giderek bulabilir.
CVE-2025-43400 ayrıca iOS 18.7.1, iPados 26.0.1 ve 18.7.1, MacOS Sequoia 15.7.1, MacOS Sonoma 14.8.1, MacOS Tahoe 26.01.1 ve Visionos 26.0.1’de sabitlenmiştir.
İyi huylu böcekler
Apple, 15 Eylül 2025’te iOS 26’yı düşürdü ve güvenlik düzeltmesinin yanı sıra, yeni güncelleme, bazı modellerde Bluetooth, 5G ve Wi-Fi bağlantısı ile ilgili sorunlar ve uygulama simgesi ekranları ve cihaz kameraları ile ilgili sorunlar da dahil olmak üzere oldukça iyi huylu, bazı sinir bozucu hatalar da ele alıyor.