CISA, yakın zamanda keşfedilen iki Apple güvenlik açığını, bilinen istismar edilen güvenlik açıkları kataloğuna ekledi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismar kanıtlarına dayanarak Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna iki yeni güvenlik açığı ekledi. Bu, Federal Sivil Yürütme Organı (FCEB) kurumlarının, cihazlarını aktif tehditlere karşı korumak için 2 Ekim 2023’e kadar bu güvenlik açığını gidermeleri gerektiği anlamına geliyor. Herkesi de bunları ciddiye almaya davet ediyoruz.
Apple, 7 Eylül 2023’te bu güvenlik açıklarını gidermek amacıyla çeşitli ürünler için güvenlik güncellemeleri yayınladı.
Bu yazının yazıldığı sırada mevcut olan güncellemelere genel bir bakış:
|
İsim ve bilgi linki |
İçin uygun |
Yayın tarihi |
|
iOS 15.7.9 ve iPadOS 15.7.9 |
iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil) |
11 Eylül 2023 |
|
macOS Monterey 12.6.9 |
macOS Monterey |
11 Eylül 2023 |
|
macOS Big Sur 11.7.10 |
macOS Big Sur |
11 Eylül 2023 |
|
macOS Ventura 13.5.2 |
macOS geliyor |
07 Eylül 2023 |
|
iOS 16.6.1 ve iPadOS 16.6.1 |
iPhone 8 ve üzeri, iPad Pro (tüm modeller), iPad Air 3. nesil ve üzeri, iPad 5. nesil ve üzeri ve iPad mini 5. nesil ve üzeri |
07 Eylül 2023 |
|
watchOS 9.6.2 |
Apple Watch Series 4 ve sonraki modeller |
07 Eylül 2023 |
Düzenli güncelleme rutinlerinizde güncellemeler size zaten ulaşmış olabilir, ancak cihazınızın en son güncelleme düzeyinde olup olmadığını kontrol etmenizin zararı olmaz. Cihazınız için bir Safari güncellemesi mevcutsa macOS, iOS veya iPadOS’i güncelleyerek veya yükselterek bu güncellemeyi alabilirsiniz.
iPhone veya iPad’inizi nasıl güncelleyebilirsiniz?
Mac’te macOS nasıl güncellenir?
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Bilinen Suistimal Edilen Güvenlik Açıkları Kataloğuna eklenen CVE’ler şunlardır:
CVE-2023-41064: Bellek yönetimi iyileştirilerek arabellek taşması sorunu giderildi. Bu sorun macOS Monterey 12.6.9, macOS Big Sur 11.7.10, macOS Ventura 13.5.2, iOS 16.6.1 ve iPadOS 16.6.1, iOS 15.7.9 ve iPadOS 15.7.9’da düzeltilmiştir. Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi, rastgele kod yürütülmesine yol açabilir.
Arabellek taşması, bir yazılım uygulamasındaki bir bellek alanı adres sınırına ulaştığında ve bitişik bir bellek bölgesine yazdığında ortaya çıkan bir tür yazılım güvenlik açığıdır. Yazılımdan yararlanma kodunda taşmalar için hedeflenen iki ortak alan yığın ve yığındır.
Yığın, program tarafından kullanılabilen bir bellek alanıdır. Program, yığın içinde kullanılması için bellek blokları talep edebilir. Belirli büyüklükte bir blok tahsis etmek için program, yığın tahsis işlemini çağırarak açık bir istekte bulunur.
CVE-2023-41061: Mantık iyileştirilerek bir doğrulama sorunu giderildi. Bu sorun watchOS 9.6.2, iOS 16.6.1 ve iPadOS 16.6.1’de düzeltilmiştir. Kötü amaçlarla oluşturulmuş bir ek, rastgele kod yürütülmesine neden olabilir.
Yamalar yayınlandığı sırada Apple, bu sorunlardan aktif olarak yararlanıldığına dair bir raporun farkında olduğunu söyledi.
Güvenlik açıkları, CitizenLab tarafından, Washington DC merkezli, uluslararası ofisleri bulunan bir sivil toplum kuruluşunda çalışan bir kişinin cihazı kontrol edilirken sıfır gün olarak keşfedildi. Bu iki güvenlik açığının birlikte BLASTPASS adı verilen bir saldırı zincirinde kullanıldığı tespit edildi. Bu istismar zinciri, kurbanın herhangi bir etkileşimi olmadan iOS’un en son sürümünü (16.6) çalıştıran iPhone’ları tehlikeye atabilecek kapasitedeydi ve bildirildiğine göre NSO Grubu tarafından Pegasus casus yazılımını dağıtmak için kullanıldı.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.