ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Çarşamba günü, aktif istismar kanıtlarına dayanarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna iOS, iPadOS, macOS, tvOS ve watchOS’u etkileyen yüksek önemde bir kusur ekledi.
CVE-2022-48618 (CVSS puanı: 7,8) olarak takip edilen güvenlik açığı, çekirdek bileşenindeki bir hatayla ilgilidir.
Apple bir danışma belgesinde “Rastgele okuma ve yazma yeteneğine sahip bir saldırgan İşaretçi Kimlik Doğrulamasını atlayabilir” dedi ve sorunun “iOS 15.7.1’den önce yayımlanan iOS sürümlerine karşı istismar edilmiş olabileceğini” ekledi.
iPhone üreticisi, sorunun iyileştirilmiş kontrollerle çözüldüğünü söyledi. Bu güvenlik açığının gerçek dünyadaki saldırılarda nasıl silah haline getirildiği şu anda bilinmiyor.
İlginç bir şekilde, kusura yönelik yamalar 13 Aralık 2022’de iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2 ve watchOS 9.2’nin piyasaya sürülmesiyle yayınlandı, ancak yalnızca bir yıldan uzun bir süre sonra 9 Ocak 2024’te kamuya açıklandı. .
Apple’ın, 20 Temmuz 2022’de gönderilen iOS 15.6 ve iPadOS 15.6’daki çekirdekteki benzer bir kusuru (CVE-2022-32844, CVSS puanı: 6,3) çözdüğünü belirtmekte fayda var.
Şirket o dönemde “Rastgele çekirdek okuma ve yazma özelliğine sahip bir uygulama İşaretçi Kimlik Doğrulamasını atlayabilir” dedi. “Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.”
CVE-2022-48618’in aktif kullanımı ışığında CISA, Federal Sivil Yürütme Organı (FCEB) kurumlarının düzeltmeleri 21 Şubat 2024’e kadar uygulamasını tavsiye ediyor.
Bu gelişme aynı zamanda Apple’ın WebKit tarayıcı motorunda (CVE-2024-23222, CVSS puanı: 8,8) aktif olarak yararlanılan bir güvenlik açığına yönelik yamaları Apple Vision Pro kulaklığını da içerecek şekilde genişletmesiyle birlikte geliyor. Düzeltme, VisionOS 1.0.2’de mevcuttur.