Apple, halihazırda istismar edildiği bildirilen iki sıfır gün güvenlik açığını düzeltmek için iOS ve iPadOS için bir güvenlik güncellemesi yayınladı. Sıfır gün güvenlik açıkları, saldırganlar tarafından yazılım şirketinin kendisinden önce keşfedilir; bu, satıcının bunları düzeltmek için 'sıfır gün' süresi olduğu anlamına gelir.
Her iki güvenlik açığı da saldırganın, normalde birisinin kötü amaçlı kod çalıştırmasını engelleyen bellek korumalarını atlamasına olanak tanır. Bildirildiğine göre saldırganlar bunları başka bir yama yapılmamış güvenlik açığı veya kötü amaçlı uygulamayla kullandı ve bu kombinasyon, onlara hedeflenen iPhone'lar üzerinde tam kontrol sağlamak için kullanılabilir.
Güncelleme şu cihazlar için geçerlidir: iPhone XS ve sonraki modeller, iPad Pro 12,9 inç 2. nesil ve sonraki modeller, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modeller, iPad Air 3. nesil ve sonraki modeller, iPad 6. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonrası.
Bu güvenlik açıklarından biri için iOS 16.7.6 veya iPadOS 16.7.6 çalıştıran iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. nesil, iPad Pro 9.7 inç ve iPad Pro 12.9 inç 1. nesil için bir yama mevcuttur.
En son yazılım sürümünü kullanıp kullanmadığınızı kontrol etmek için şu adrese gidin: Ayarlar > Genel > Yazılım güncellemesi. iOS 17.4 veya iPadOS 17.4'te olmak istiyorsunuz, istemiyorsanız hemen güncelleyin. Henüz yapmadıysanız Otomatik Güncelleştirmeleri açmanız da faydalı olacaktır. Bunu aynı ekranda yapabilirsiniz.
Teknik detaylar
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Bu güncellemelerde yamalanan sıfır gün CVE'leri şunlardır:
CVE-2024-23225: Doğrulama iyileştirilerek bellek bozulması sorunu giderildi. iOS 16.7.6 ve iPadOS 16.7.6, iOS 17.4 ve iPadOS 17.4'te bu soruna yönelik bir yama mevcuttur. Rastgele çekirdek okuma ve yazma yeteneğine sahip bir saldırgan, çekirdek belleği korumalarını atlayabilir. Apple, bu sorunun aktif olarak kötüye kullanıldığına dair bir raporun farkında olduğunu söylüyor.
CVE-2024-23296: Doğrulama iyileştirilerek RTKit'teki bellek bozulması sorunu giderildi. Rastgele çekirdek okuma ve yazma yeteneğine sahip bir saldırgan, çekirdek bellek korumalarını atlayabilir. Apple, bu sorunun aktif olarak kötüye kullanıldığına dair bir raporun farkında olduğunu söylüyor.
RTKit, Apple'ın iPhone, Watch, MacBook ve iPod gibi çevre birimlerindeki birden fazla çip üzerinde çalışan gerçek zamanlı işletim sistemidir. Gerçek zamanlı işletim sistemi, hassas zamanlama gerektiren gerçek zamanlı uygulamalar için hayati önem taşıyan görevleri tek bir çekirdek üzerinde yöneten bir yazılımdır.
Apple, güncellemeye birkaç başka güvenlik açığı daha ekledi; bunların bir kısmını listeledi ancak aynı zamanda “Ek CVE girişlerinin yakında geleceğini” de belirtti. Saldırganlara karşı koruma sağlamak amacıyla, güvenlik açıklarını bulmak amacıyla yapılan tersine mühendislik güncellemelerine karşı Apple, bir araştırma gerçekleşene ve yamalar veya sürümler mevcut olana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz.
Yalnızca telefon güvenliği hakkında rapor vermiyoruz; bunu sağlıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. iOS için Malwarebytes'i ve Android için Malwarebytes'i bugün indirerek tehditleri mobil cihazlarınızdan uzak tutun.