Aralık ayı, Apple ve Google’ın da aralarında bulunduğu firmaların tatil tatilinden önce ürünlerindeki ciddi kusurları düzeltmek için yamalar çıkarmaya çalıştığı bir güncelleme ayıydı.
Kurumsal yazılım devleri de Atlassian ve SAP’nin Aralık ayında birçok kritik hatayı ortadan kaldırmasıyla kendi paylarına düşen yamaları yayınladı.
Ay boyunca kaçırmış olabileceğiniz önemli güncellemeler hakkında bilmeniz gerekenleri burada bulabilirsiniz.
elma iOS’u
Aralık ortasında Apple, Journal uygulaması gibi özelliklerin yanı sıra 12 güvenlik yamasını içeren önemli bir yükseltme olan iOS 17.2’yi piyasaya sürdü. iOS 17.2’de düzeltilen kusurlar arasında, WebKit tarayıcı motorunda bir saldırganın kod yürütmesine izin verebilecek bir sorun olan CVE-2023-42890 yer alıyor.
Apple’ın destek sayfasında, iPhone’un Çekirdeğindeki CVE-2023-4291 olarak takip edilen bir başka kusurun, bir uygulamanın güvenli sanal alanından çıkmasına neden olabileceği belirtildi. Bu arada ImageIO’daki CVE-2023-42898 ve CVE-2023-42899 adlı iki güvenlik açığı kod yürütülmesine neden olabilir.
ZDNET ve 9to5Mac tarafından yapılan testlere göre iOS 17.2 güncellemesi, Flipper Zero adı verilen bir sızma test cihazı kullanılarak Bluetooth saldırısını önleyecek bir mekanizmayı da uygulamaya koydu. Sinir bozucu hizmet reddi siber saldırısı, iPhone’da çok sayıda açılır pencerenin görünmesine ve sonunda cihazın kilitlenmesine neden olabilir.
Apple ayrıca iOS 16.7.3, Safari 17.2, macOS Sonoma 14.2, macOS Ventura 13.6.3, macOS Monterey 12.7.2, tvOS 17.2 ve watchOS 10.2’yi de yayınladı.
iOS 17.2’nin piyasaya sürülmesinden yalnızca bir hafta sonra Apple, eski cihazlar için iOS 17.2.1 ve iOS 16.7.4’ün yanı sıra macOS Sonoma 14.2.1’i de yayınladı. Sürpriz iPhone güncellemesi belirtilmemiş hata ve güvenlik düzeltmeleri içerirken, macOS yaması CVE-2023-42940 olarak takip edilen tek bir kusuru düzeltiyor.
Google Android
Google Android Aralık Güvenlik Bülteni, 100’e yakın güvenlik sorununu gideren oldukça kapsamlı bir bültendi. Güncelleme, Çerçevedeki iki kritik soruna yönelik yamalar içeriyor; bunlardan en ciddi olanı, hiçbir ek ayrıcalık gerektirmeden ayrıcalıkların uzaktan yükseltilmesine yol açabilir. Google, istismar için kullanıcı etkileşiminin gerekli olmadığını söyledi.
CVE-2023-40088, Sistemde uzaktan kod yürütülmesine yol açabilecek kritik bir kusurdur; CVE-2023-40078 ise yüksek etkiye sahip olarak değerlendirilen bir ayrıcalık yükseltme hatasıdır.
Google ayrıca akıllı cihazı WearOS platformu için bir ayrıcalık yükseltme kusuru olan CVE-2023-40094’ü düzelten bir güncelleme yayınladı. Piksel Güvenlik Bülteni bu yazının yazıldığı sırada yayınlanmamıştı.
Google Chrome
Google, Aralık ayındaki çok sayıda güncellemeyi Chrome tarayıcısı için acil bir düzeltmeyle sonlandırdı. 2024’te Chrome’u etkileyen sekizinci sıfır gün güvenlik açığı olan CVE-2023-7024, açık kaynak WebRTC bileşenindeki bir yığın arabellek taşması sorunudur. Tarayıcı üreticisi bir danışma belgesinde, Google’ın “CVE-2023-7024’e yönelik bir istismarın ortalıkta mevcut olduğunun farkında” olduğunu söyledi.
Bu, Google’ın Aralık ayında yayınladığı ilk düzeltme değildi. Yazılım devi ayrıca dokuz güvenlik sorununu gidermek için ay ortasında bir Chrome yaması yayınladı. Harici araştırmacılar tarafından bildirilen kusurlardan beşi, V8’deki bir tür karışıklık kusuru olan CVE-2023-6702 ve dört serbest kullanım sonrası hata dahil olmak üzere yüksek önem derecesine sahip olarak derecelendirildi.