Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), birden fazla Apple ürününü etkileyen kritik bir sıfır gün güvenlik açığını Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna ekledi ve bu güvenlik açığının vahşi ortamda aktif olarak kullanıldığının sinyalini verdi.
CVE-2025-43529, Apple’ın işleme motoru WebKit’te iOS, iPadOS, macOS ve diğer Apple platformlarındaki milyonlarca kullanıcı için önemli bir risk oluşturan ciddi bir serbest kullanım sonrası güvenlik açığını temsil ediyor.
Güvenlik Açığı Genel Bakış ve Teknik Ayrıntılar
Serbest bırakıldıktan sonra kullan sorunu (CWE-416) olarak kataloglanan güvenlik açığı, WebKit’in web içeriğini işlemesinde mevcuttur. Bir kullanıcı kötü amaçlarla oluşturulmuş bir web sayfasını ziyaret ettiğinde, saldırgan bu güvenlik açığı nedeniyle bellek bozulmasını tetikleyebilir.
Temel sorun, WebKit’in HTML ayrıştırma bileşenlerindeki bellek referanslarının hatalı yönetilmesinden kaynaklanıyor; bu durum, saldırganların boş bellek bölgelerine erişmesine ve etkilenen uygulamanın ayrıcalıklarıyla rastgele kod çalıştırmasına olanak tanıyor.
Bu güvenlik açığını özellikle tehlikeli kılan şey, geniş etki kapsamıdır. En bariz hedef Apple Safari olsa da, güvenlik açığı HTML işleme için WebKit’i entegre eden Apple dışı uygulamaları da kapsıyor.
Buna, Apple’ın oluşturma motorunu kullanan ve potansiyel olarak saldırı yüzeyini katlanarak genişleten çok sayıda üçüncü taraf tarayıcı ve uygulama da dahildir.
CISA, tehdit aktörlerinin bu güvenlik açığından aktif olarak yararlandığını doğruladı ve bu güvenlik açığının 15 Aralık 2025’te KEV kataloğuna derhal eklenmesini garantiledi.
Güvenlik açığı, uzaktan kod yürütme, rastgele dosya erişimi ve güvenliği ihlal edilmiş sistemlerde potansiyel yanal hareket dahil olmak üzere çeşitli saldırı türleri için kritik bir dağıtım mekanizması sunuyor.
Kuruluşların bu tehdidi ele almak için 5 Ocak 2026’ya kadar CISA kılavuzuna göre belirlenen 21 günlük bir düzeltme penceresi vardır.
Şu anda güvenlik açığının fidye yazılımı kampanyalarında kullanıldığı bilinmiyor; ancak teyit edilen aktif istismar, savunucuların gelişmiş tehdit aktörlerinin silahlandırma potansiyelini hafife almaması gerektiği anlamına geliyor.
Azaltmalar
CISA, bu güvenlik açığını yöneten kuruluşlar için özel kılavuzların ana hatlarını çizmiştir. BOD 22-01 uyumluluk gerekliliklerine uygun olarak kuruluşlar, satıcı tarafından sağlanan hafifletici önlemleri ve güvenlik yamalarını Apple bunları yayınladıktan sonra hemen uygulamalıdır.
Bulut hizmetleri için kuruluşların geçerli bulut hizmeti sağlayıcısı rehberliğine ve dağıtım gereksinimlerine uyması gerekir. Azaltıcı önlemlerin mevcut olmadığı senaryolarda kuruluşlar, yamalar dağıtılana kadar etkilenen ürünlerin kullanımına son verilmesini değerlendirmelidir.
CISA, güvenlik açığı yönetimi girişimlerini desteklemek için KEV kataloğunu resmi kaynakları aracılığıyla erişilebilen birden fazla formatta sağlar.
Kuruluşlar verilere CSV, JSON ve JSON Şema formatları aracılığıyla erişebilir, bu da otomatik güvenlik açığı yönetimi sistemlerine ve güvenlik düzenleme platformlarına entegrasyona olanak tanır.
Kapsamlı katalog, kurumsal ortamlardaki güvenlik açığı giderme çabalarının önceliklendirilmesi için yetkili bir kaynak olarak hizmet vermektedir.
Siber güvenlik topluluğu, mevcut güvenlik açığı yönetimi çerçeveleri içerisinde bu güvenlik açığına öncelik vermelidir.
Çalışan iş istasyonlarından kurumsal dağıtımlara kadar altyapılarında Apple aygıtlarını kullanan kuruluşların bu tehdide acilen müdahale etmesi gerekiyor.
Güvenlik ekipleri, etkilenen sistemlerin envanterini çıkarmalı, yama prosedürlerini hazırlamalı ve yamalar dağıtılıncaya kadar istismar girişimlerini izlemelidir.
Bu güvenlik açığı, mevcut yama yönetimi protokollerinin ve proaktif tehdit izleme yeteneklerinin sürdürülmesinin önemini güçlendirmektedir.
Aktif istismar devam ettikçe, iyileştirme çabalarını geciktiren kuruluşların risklere ve olası veri ihlallerine maruz kalma riskleri önemli ölçüde artar.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.