Apple, Pazartesi günü, vahşi doğada aktif olarak kullanıldığını söylediği bir sıfır gün kusurunu gidermek için iOS, iPadOS, macOS ve Safari için güvenlik güncellemeleri yayınladı.
şu şekilde izlendi: CVE-2023-23529sorun, WebKit tarayıcı motorunda, kötü amaçlarla oluşturulmuş web içeriği işlenirken etkinleştirilebilen ve rasgele kod yürütülmesiyle sonuçlanan bir tür karışıklığı hatasıyla ilgilidir.
İPhone üreticisi, hatanın iyileştirilmiş kontrollerle giderildiğini ve “bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkında olduğunu” sözlerine ekledi. Anonim bir araştırmacı, kusuru bildirdiği için kredilendirildi.
Gerçek dünyadaki saldırılarda güvenlik açığından nasıl yararlanıldığı hemen belli değil, ancak bu, Aralık ayında kapatılan CVE-2022-42856’dan sonra Apple tarafından yamalanan WebKit’teki aktif olarak kötüye kullanılan ikinci tür karışıklık kusuru. 2022.
WebKit kusurları, Apple’ın tarayıcı satıcılarının aynı işleme çerçevesini kullanmasını gerektiren kısıtlamaları nedeniyle iOS ve iPadOS için kullanılabilen her üçüncü taraf web tarayıcısını etkilemeleri nedeniyle de dikkate değerdir.
Şirket tarafından ayrıca, hileli bir uygulamanın en yüksek ayrıcalıklarla rasgele kod yürütmesine izin verebilecek Çekirdekte (CVE-2023-23514) ücretsiz kullanım sonrası bir sorun da ele alındı.
Pangu Lab’den Xinru Chi ve Google Project Zero’dan Ned Williamson, sorunu bildiren kişilerdir. Apple, güvenlik açığını geliştirilmiş bellek yönetimi ile çözdüğünü söyledi.
Ayrı olarak, en son macOS güncellemesi, Kısayollarda, kötü amaçlı yazılım bulaşmış bir uygulamanın “korunmayan kullanıcı verilerini gözlemlemek” için yararlanabileceği bir gizlilik kusurunu da giderir. Apple, geçici dosyaların daha iyi işlenmesiyle sorunun çözüldüğünü belirtti.
Kullanıcıların olası riskleri azaltmak için iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1 ve Safari 16.3.1’e güncellemeleri önerilir. Güncellemeler aşağıdaki cihazlar için mevcuttur –
- iPhone 8 ve sonrası, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası
- macOS Ventura, macOS Big Sur ve macOS Monterey çalıştıran Mac’ler
Apple, 2022’de yazılımını kapsayan toplam 10 sıfır günü iyileştirdi ve bunlardan dokuzunun tehdit aktörleri tarafından aktif olarak istismar edildiği açıklandı. Bu kusurlardan dördü WebKit’te keşfedildi.