CISA bugün, Apple iPhone’ları, Mac’leri, TV’leri ve saatleri etkileyen yamalı bir çekirdek güvenlik açığının artık saldırılarda aktif olarak kullanıldığı konusunda uyardı.
CVE-2022-48618 olarak takip edilen ve Apple’ın güvenlik araştırmacıları tarafından keşfedilen hata, yalnızca 9 Ocak’ta Aralık 2022’de yayınlanan bir güvenlik tavsiyesi güncellemesinde açıklandı.
Şirket, uyarının ilk yayınlandığı iki yıldan daha uzun bir süre önce güvenlik açığının da sessizce yamalanıp yamalanmadığını henüz açıklamadı.
Şirket bu ay yaptığı açıklamada, “Rastgele okuma ve yazma yeteneğine sahip bir saldırgan İşaretçi Kimlik Doğrulamasını atlayabilir” dedi.
“Apple, bu sorunun iOS 15.7.1’den önceki iOS sürümlerine karşı istismar edilmiş olabileceğine dair bir raporun farkındadır.”
Bu uygunsuz kimlik doğrulama güvenlik açığı, saldırganların, bellek bozulması hatalarından yararlanmaya çalışan saldırıları engellemek için tasarlanmış bir güvenlik özelliği olan İşaretçi Kimlik Doğrulamasını atlamasına olanak tanır.
Apple, iOS 16.2 veya sonraki sürümünü, iPadOS 16.2 veya sonraki sürümünü, macOS Ventura veya sonraki sürümünü, tvOS 16.2 veya sonraki sürümünü ve watchOS 9.2 veya sonraki sürümünü çalıştıran cihazlarda iyileştirilmiş kontrollerle bu kusuru giderdi.
Aktif olarak yararlanılan bu kusurdan etkilenen cihazların listesi oldukça kapsamlıdır ve hem eski hem de yeni modelleri etkilemektedir:
- iPhone 8 ve üzeri, iPad Pro (tüm modeller), iPad Air 3. nesil ve üzeri, iPad 5. nesil ve üzeri ve iPad mini 5. nesil ve üzeri
- macOS Ventura çalıştıran Mac’ler
- Apple TV 4K, Apple TV 4K (2. nesil ve sonrası) ve Apple TV HD
- ve Apple Watch Series 4 ve sonraki sürümleri
Federal kurumlara 21 Şubat’a kadar yama yapma talimatı verildi
Apple henüz CVE-2022-48618’in aktif kullanımıyla ilgili daha fazla ayrıntı paylaşmasa da CISA, bu güvenlik açığını Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na ekledi.
Ayrıca ABD federal kurumlarına, Kasım 2021’de yayınlanan bağlayıcı operasyonel direktifin (BOD 22-01) gerektirdiği şekilde hatayı 21 Şubat’a kadar düzeltmeleri talimatını verdi.
Geçtiğimiz hafta Apple ayrıca, saldırganların savunmasız iPhone’lar, Mac’ler ve Apple TV’lerde kod yürütme elde etmek için kullanabileceği bir WebKit karışıklık sorunu olan bu yılın ilk sıfır gün hatasını (CVE-2024-23222) yamalamak için güvenlik güncellemelerini de yayınladı.
Aynı gün şirket, CVE-2023-42916 ve CVE-2023-42917 olarak takip edilen ve daha yeni cihazlar için Kasım ayında yamalanan iki WebKit sıfır gün daha için eski iPhone ve iPad modellerine yamaları destekledi.