Apple, iOS 16.1.2 ve Safari 16.2 için yeni güvenlik içeriği yayınladı. Aktif olarak istismar edilen bir sıfırıncı gün güvenlik açığını düzeltmek için
Azaltma
Güncellemelerin tümü, düzenli güncelleme rutinlerinizde size ulaşmış olmalıdır, ancak cihazınızın en son güncelleme seviyesinde olup olmadığını kontrol etmekten zarar gelmez.
iPhone veya iPad’inizi nasıl güncellersiniz?
Mac’te macOS nasıl güncellenir?
Mac’inize virüs bulaştığından endişe ediyorsanız, Mac için Malwarebytes’i deneyin. Veya Apple cihazlarınız için iOS için Malwarebytes.
Aşağıda ele alacağımız güvenlik açığından zaten yararlanıldığı için, cihazlarınızı mümkün olan en kısa sürede güncellemeniz önemlidir.
CVE-2022-42856
Apple, tehdit aktörlerinin CVE-2022-42856 olarak listelenen güvenlik açığından aktif olarak yararlandığının farkında olduğunu açıkladı. Hata, Apple’ın web işleme motoru olan WebKit’te bulundu. Başka bir deyişle WebKit, Safari ve diğer uygulamalara güç veren tarayıcı motorudur. Bu nedenle, aynı CVE numarasını Safari güvenlik danışma belgesinde ve diğerlerinin bir listesinde bulmanız şaşırtıcı değil.
Apple, güvenlik açığının etkisinin, kötü amaçlarla oluşturulmuş web içeriğinin işlenmesinin rastgele kod yürütülmesine yol açabileceğini söylüyor. Temel sorun, “tür karışıklığı” olarak adlandırılan sorundu ve durum işleme iyileştirilerek giderildi.
Tip karışıklığı güvenlik açıkları, bir kod parçası kullanılmadan önce kendisine iletilen nesnenin türünü doğrulamadığında ortaya çıkan programlama kusurlarıdır. Tür karışıklığı, bir saldırganın işlev işaretçilerini veya verileri yanlış kod parçasına beslemesine izin verebilir. Bazı durumlarda, bu kod yürütülmesine yol açabilir.
Apple, devlet destekli casus yazılımları, bilgisayar korsanlığını ve siber saldırıları araştıran Google’ın Tehdit Analiz Grubundaki güvenlik araştırmacılarının WebKit hatasını keşfettiğini ve rapor ettiğini açıkladığında başka bir ipucu verildi. Bu size açıktan kimin yararlandığı hakkında bir fikir verebilir.
Sürüm karışıklığı
Bir sır olarak kalan şey, Apple’ın neden özellikle bu sorunun iOS 15.1’den önce yayınlanan iOS sürümlerinde aktif olarak kullanılmış olabileceğini belirtmesidir.
Yerleşik Apple uzmanımız Thomas Reed’e o zaman neden iOS 16 kullanıcılarının bir güncelleme alıp iOS 15 kullanıcılarının almadığını sorduk.
Apple’ın yakın zamanda güvenlik düzeltmelerinin yalnızca en son sistem için geçerli olabileceğini ve eski sistemlere geri taşınmayabileceğini belgelediğine dikkat çekti. Bu her zaman böyle olmuştur, ancak belgelenmemiştir ve kullanıcıların neler olup bittiği hakkında tahminde bulunmalarına neden olmuştur.
“Yine de, Apple’ın eski bir sisteme yönelik aktif saldırıların farkında olduklarında arka bağlantı noktası düzeltmeleri yaptığı biliniyor, bu yüzden bunun sadece bir sorumluluk reddi beyanına başvurma meselesi olduğundan şüpheliyim. Bu bana işin içinde bazı zorluklar olduğunu gösteriyor. WebKit’te iOS 15 ile 16 arasında tam olarak neyin değiştiğini bilmiyorum, ancak iOS 16’da kesinlikle Safari ile ilgili birçok değişiklik oldu, bu nedenle, geri taşıma yolunda duran bir tür mimari değişiklik olması tamamen mümkün. ”
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.