Apple, yılın başından bu yana onuncu sıfır gün güvenlik açığını yamaladı ve en sonuncusu iPhone’lara yönelik saldırılarda aktif olarak kullanılıyor.
Ayrıca Apple, iOS/ıpados 15.7.2, Safari 16.2, tvOS 16.2 ve macOS Ventura 13.1 için bugün yayınlanan güvenlik bültenlerinde hatanın eski sürümlere karşı “aktif olarak kullanılmış olabileceğini” söyledi.
Raporlara göre güncelleme, Safari ve diğer uygulamalara güç sağlayan tarayıcı motoru WebKit’teki bir hatayı düzeltti. Hata kötüye kullanılırsa, kullanıcının cihazında kötü amaçlı kodun çalışmasına izin vermiş olabilir. Satıcının güvenlik açığını gidermek için yalnızca bir günü vardır.
CVE-2022-42856 – A Tipi Karışıklık Sorunu
Tür karışıklığı, Apple’ın Webkit web tarayıcı tarama motorunda (CVE-2022-42856) olarak izlenen bir kusurdur.
“Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, rastgele kod yürütülmesine neden olabilir. Apple’a göre Apple, bu sorunun iOS 15.1’den önce yayınlanan iOS sürümlerinde aktif olarak kullanılmış olabileceğine dair bir raporun farkında.
Google’ın Tehdit Analizi Grubu’ndan Clément Lecigne, kötü amaçlarla oluşturulmuş web içeriğinin savunmasız bir cihazda rastgele kod yürütmesine olanak tanıyan güvenlik açığını buldu.
Bu nedenle, rasgele kod yürütme, kötü amaçlı sitenin işletim sisteminde komutlar çalıştırmasına, daha fazla casus yazılım veya kötü amaçlı yazılım yüklemesine veya başka kötü amaçlı eylemler gerçekleştirmesine izin verebilir.
Sıfırıncı Gün Güvenlik Açığı için Yama
Durum işleme iyileştirilerek bir tür karışıklık sorunu giderildi. Apple, sıfır gün güvenlik açığını şu cihazlar için düzeltti: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (birinci nesil), iPad Pro (tüm modeller), iPad Air 2 ve sonrası, iPad 5. nesil ve daha sonra, iPad mini 4 ve daha sonra ve iPod touch ((7. nesil).
Apple, tehdit aktörlerinin güvenlik açığından aktif olarak yararlandığını doğrulamış olsa da, saldırılar hakkında daha fazla bilgi yayınlanmadı.
Apple, yılın başından bu yana on sıfır gün güvenlik açığını çözdü:
- Apple, Ekim ayında iOS Çekirdeğinde sıfır günü ele aldı (CVE-2022-42827).
- Apple, Eylül ayında iOS Çekirdeğindeki bir hatayı düzeltti (CVE-2022-32917).
- Ağustos ayında, iOS Kernel (CVE-2022-32894) ve WebKit’te (CVE-2022-32893) iki sıfır günü daha düzeltti.
- Mart ayında Apple, Intel Grafik Sürücüsü (CVE-2022-22674) ve AppleAVD’ye (CVE-2022-22675) iki sıfır gün yaması yaptı.
- Şubat ayında Apple, iPhone’ları, iPad’leri ve Mac’leri hedeflemek için kullanılan başka bir WebKit sıfır gün hatasını gidermek için güvenlik güncellemeleri yayınladı.
- Ocak ayında Apple, çekirdek ayrıcalıkları (CVE-2022-22587) ve web’de gezinme etkinliği izleme (CVE-2022-22594) ile kod yürütmeye izin veren başka bir sıfır gün çifti düzeltti.
Bu nedenle, sıfırıncı gün zayıflığının yüksek hedefli saldırılarda kullanılması muhtemel olsa da, bugünün güvenlik yamalarının mümkün olan en kısa sürede yüklenmesi önerilir.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin