[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
Apple tipik olarak minimal tasarımı, kullanıcı dostu kullanıcı arabirimi ve donanımıyla bilinir. Ancak ürünlerinin, özellikle de iPhone’ların başarısı, uzun süredir zamanında siber güvenlik güncellemelerine ve bunların etkinliğine bağlı. Donanıma ek olarak cihazlarına vaat ettikleri uzun süreli destek, işletim sistemi ve güvenlik güncellemeleri etrafında da dönüyor.
Bu nedenle, iOS 16’ya yükseltilemeyen daha eski cihazların hala piyasaya sürüldüğünü görebilirsiniz. Bilinen ve bilinmeyen güvenlik açıkları nedeniyle yakın zamanda ortaya çıkan birkaç son güvenlik güncellemesinden bahsedeceğiz.
Ancak bir kullanıcı olarak bu güncellemelerin nasıl önceliklendirildiğini ve cihazlarınızı neden düzenli olarak güncellemeniz gerektiğini bilmek isteyebilirsiniz.
Tespit edilen her güvenlik açığı, Ortak Güvenlik Açığı Puanlama Sistemine () göre sıralanır ve durumunu izlemek için kullanılan bir CVE seri numarası (CVE-Yıl-XXXXXX) ile gösterilir. Örneğin, dünya çapında milyonlarca sistemi etkileyen log4j güvenlik açığı 10 üzerinden 10 olarak derecelendirilmiştir. Güncellemeler bu puana göre önceliklendirilir ve yayınlanır.
iOS 15.7.2 güvenlik güncellemesi
iOS 15.7.2’nin başlıca güvenlik güncellemeleri aşağıda ele alınmıştır.
AppleAVD (Kötü Amaçlı Video Dosyası)
CVSS puanı 7,8 olan ve yüksek risk olarak kabul edilen AppleAVD güvenlik açığı (CVE-2022-46694), kötü amaçlı bir video dosyasının sınır dışı yazma ve çekirdek kodu yürütme riskini artırır. Güvenlik açığının etkili olması için kullanıcı etkileşimi gerekli olsa da, riskli indirilen videolar, bununla ilgili gizlilik ve siber güvenlik sorunları oluşturabilir. Güvenlik açığı, iyileştirilmiş giriş doğrulamasıyla yamalandı.
AVEVideoEncoder (Çekirdek Ayrıcalıkları)
AppleAVD gibi, AVEVideoEncoder güvenlik açığı (CVE-2022-42848) de 7,8 CVSS puanına sahiptir. Ancak bu ikisi arasındaki fark, AVEVideoEncoder güvenlik açığının, kullanıcı etkileşimi yoluyla çekirdek ayrıcalıklarına erişebilen ve kullanıcı güvenliğini tehlikeye atmak için rasgele kod yürütebilen bir uygulamayla ilgili olmasıdır. Denetimler iyileştirilerek sorun giderildi.
Dosya Sistemi (Sandbox Sorunu)
Siber güvenlikte sandbox, kodu çalıştırmak, gözlemlemek ve analiz etmek için neredeyse izole edilmiş bir ortam tanımlar. Tipik olarak, korumalı alan oluşturma, aktif kullanıcıları dahil etmeden kullanıcı etkileşimini taklit etmek için kolaylaştırılır. Ancak iOS gibi karmaşık işletim sistemlerinde her uygulama, etkinliğini sınırlamak için kendi sanal alanında kafeslenir. Dosya Sistemi Güvenlik Açığı (CVE-2022-426861), korumalı alandan çıkan ve çekirdek kodunu yürüten kötü amaçlı uygulamalar etrafında döner. Kötü niyetli hareket etmek için kullanıcı etkileşimi gerektirmediğinden, 8.8 gibi çok yüksek bir CVSS derecesine sahiptir. İyileştirilmiş kontrollerle sorun düzeltildi. Bu güvenlik açığı, .
Grafik Sürücüsü (Kötü Amaçlı Video Dosyası, Sistem Sonlandırma)
5,5’lik orta düzey bir CVSS derecesine sahip olan CVE-2022-42846 Grafik Sürücüsü güvenlik açığı, söz konusu amaç için hazırlanmış kötü amaçlı video dosyalarıyla arabellek taşması yoluyla sistemleri sonlandırabilir. Kullanıcı etkileşimi gerekli olsa da, bu tür saldırıların etkisinin kullanıcı deneyimi ve bütünlüğü üzerinde ciddi etkileri vardır. Sorun, güvenlik güncellemesi 15.7.2’de iyileştirilmiş bellek kullanımıyla düzeltildi.
libxml2
libXML2 genellikle yapılandırılmış veri içeren metin dosyalarını taşıyan XML belgelerini ayrıştırmak için kullanılır. Libxml2 (CVE-2022-40304) ile ilgili bu özel güvenlik açığına 7,8’lik bir CVSS taban puanı atanmıştır ve bir karma tablo anahtarını bozarak programların keyfi davranmasına neden olarak sonuç olarak mantık hatalarına yol açabilir. Bu sorun, bir tamsayı taşması nedeniyle meydana geldi ve iyileştirilmiş giriş doğrulamasıyla hafifletildi.
WebKit (Kötü Amaçlı Web İçeriğini İşleme)
Güvenlik sertifikaları ve uyumlulukları olmayan web siteleri genellikle siber güvenlik sorunlarına yol açabilecek kötü amaçlı kodlar içerir. Bu kötü niyetli aktörler gerçeği gizlemek için ellerinden geleni yaptıklarından, bu özel WebKit sorunu (CVE-2022-46691) 8,8 CVSS puanıyla gelir ve iPhone ve iPad’lerin güvenliğine yönelik doğrudan bir tehdit olarak kabul edilir. Bu, iyileştirilmiş bellek işleme yoluyla en son güncellemede yamalandı.
iOS 16.2 güvenlik güncellemesi
15.7.2 güncellemesinde bahsedilen güncellemelerin çoğu, . Güvenlik açığının nasıl kapatıldığı konusunda büyük bir fark olmadıkça bunları tekrar tartışmayacağız.
Hesaplar (Yetkisiz Kullanıcı Erişimi)
CVE-2022-42843 güvenlik açığı, AKA Hesapları, 16.2 güvenlik güncellemesinde yamalanan 5.5 dereceli düşük seviyeli bir sorundur. Sorun, esas olarak, diğer kullanıcıların hassas bilgilerini görüntüleyen kullanıcılar etrafında dönmektedir. Gizlilik etkisi yüksek olsa da, uygulamaların veya veritabanının bütünlüğünü özellikle etkilemez. Sorun, geliştirilmiş veri koruma önlemleriyle giderildi.
AppleMobileFileIntegrity (Gizlilik Tercihlerini Atla)
Gizlilik, iPhone’lar için her şeyden önemli kabul edilir. Hala orta riskli (5.5) bir güvenlik açığı olmasına rağmen, AppleMobileFileIntegrity sorununa (CVE-2022-42865), gizlilik tercihlerini atlamak ve kullanıcı gizliliğini ihlal etmek için bunu kullanan uygulamalar nedeniyle son güncellemelerde öncelik verildi. Bu sorun, kod yerleştirmeyi, işlem belleği kurcalamayı ve .
CoreServices (Güvenlik Açığı Olan Kodun Kaldırılması)
Apple’ın yakın doğası nedeniyle CoreServices güncellemesi (CVE-2022-42859), kodlarda yapılan herhangi bir büyük değişikliği belirtmez, ancak bir uygulamanın atlamasına olanak verebilecek savunmasız bir kod parçasını kaldırmayı vaat eder. gizliliği tehlikeye atmak için gizlilik tercihleri. CVSS puanı, bu güncelleme için orta düzeyde bir 5,5’tir.
GPU Sürücüleri (Çekirdek Belleğini Açıklayın)
Kötü amaçlı bir uygulamanın çekirdek belleğini ifşa edebilmesi için CVE-2022-46702 güvenlik açığındaki GPU sürücüleri ile ilgili bir sorun tespit edildi. Çekirdek belleği, fiziksel aygıtın RAM’ine yüklenen kesinlikle yerel bellektir. Uygulamanın kötü amaçlı hareket etmesi için kullanıcı etkileşimi gerektiğinden, orta düzeyde bir 5,5 CVSS puanı verildi. Sorun, belleğin daha iyi işlenmesi için düzeltildi.
ImageIO (Keyfi Kod Yürütme)
Çoğunlukla iCloud ile ilgili olan ancak iOS’un kendisinde de görülen CVE-2022-46693 ile ImageIO sorununun, kötü amaçlı dosyaları rastgele kod yürütmesi için güçlendirdiği tespit edildi. Güvenlik açığının keyfi olması nedeniyle 7.8 gibi yüksek bir CVSS puanı verildi. Ancak, bu dosyaları bulmak ve indirmek gibi kullanıcı etkileşimi gerektirir. Bu sınırların dışına çıkma sorunu, iyileştirilmiş giriş doğrulamasıyla azaltıldı.
Alt çizgi
Halihazırda anlamış olabileceğiniz gibi, bu güncellemeler, cihazınızın güvenli bir şekilde çalışması ve sizi kimlik hırsızlığı ve gerçek parasal risklerden koruması için kritik öneme sahiptir. Bu güvenlik açıkları genellikle geliştirme amacıyla kamuoyuna açıklandığından, kötü niyetli suçlular genellikle henüz güncellenmemiş cihazları hedeflemeye çalışır. Bu nedenle, bunları yüklemek için bir gün bile beklememelisiniz.
reklam