Apple, WebKit’te aktif olarak kullanılan üç sıfır güne karşı yamalar hakkında bilgi yayınladı. Bir güvenlik açığı yeni, ikisi bu ayın başlarında yamalandı.
Apple, Safari 16.5, watchOS 9.5, tvOS 16.5, iOS 16.5, iPadOS 16.5, iOS 15.7.6, iPadOS 15.7.6, macOS Big Sur 11.7.7, macOS Ventura 13.4 ve macOS Monterey 12.6.6 için güvenlik güncellemeleri yayınladı.
Güvenlik güncellemeleri arasında aktif olarak kullanılan üç sıfır gün güvenlik açığı için yamalar vardı. Aktif olarak yararlanılan tüm bu güvenlik açıkları, doğrudan WebKit tarayıcı motoruyla ilgilidir.
WebKit, Mac’lerde Safari web tarayıcısına, iOS ve iPadOS’ta tüm tarayıcılara (iOS ve iPadOS’ta tüm web tarayıcıları kullanmakla yükümlüdür) güç sağlayan motordur. Ayrıca Mail, App Store ve macOS, iOS ve Linux’taki diğer birçok uygulama tarafından kullanılan web tarayıcı motorudur.
Tanımlanan açıklardan etkilenen cihazlar şunları içerir:
- Tüm iPad Pro modelleri
- iPad Air (3. nesil ve sonrası)
- iPad (5. nesil ve sonrası)
- iPad Mini (5. nesil ve sonrası)
- iPhone 6s ve sonraki modeller
- macOS, Big Sur, Monterey ve Ventura çalıştıran Mac iş istasyonları ve dizüstü bilgisayarlar
- Apple Watch (seri 4 ve sonrası)
- Apple TV 4K ve HD
Güncellemeler, düzenli güncelleme rutinlerinizde size zaten ulaşmış olabilir, ancak cihazınızın en son güncelleme seviyesinde olup olmadığını kontrol etmekten zarar gelmez. Aygıtınız için bir Safari güncellemesi varsa, bunu macOS, iOS veya iPadOS’i güncelleyerek veya yükselterek edinebilirsiniz:
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. Yeni sıfır gün ile ilgili bilgileri içeren CVE şu şekildedir:
- CVE-2023-32409: Uzaktaki saldırganın Web İçeriği korumalı alanından çıkabilmesine neden olan bir sorun, sınır denetimleri iyileştirilerek giderildi.
Güvenlik güncellemeleriyle ilgili notlar, Apple’ın bu ayın başlarında bildirdiğimiz Rapid Security Response (RSR) güncellemesi hakkında da bazı bilgileri ortaya çıkardı.
RSR, Apple’ın düzenli, planlanmış yazılım güncellemeleri arasında sunulan yeni bir yazılım yaması türüdür. Daha önce, Apple güvenlik düzeltmeleri, özellikler ve iyileştirmelerle birlikte paket olarak geliyordu, ancak RSR’ler yalnızca güvenlik düzeltmeleri taşıyordu. Güvenlik iyileştirmelerinin devreye alınmasını daha hızlı ve daha sık hale getirmeyi amaçlıyorlar.
Artık bu RSR güncellemesinde yamalanan CVE’lerin şu şekilde listelendiğini biliyoruz:
- CVE-2023-28204: Giriş doğrulama iyileştirilerek WebKit’te sınırların dışında okuma sorunu giderildi. Web içeriğinin işlenmesi hassas bilgileri ifşa edebilir.
- CVE-2023-32373: WebKit’te, iyileştirilmiş bellek yönetimiyle giderilen, ücretsiz kullanım sonrası sorun. Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, rastgele kod yürütülmesine yol açabilir.
Sınırların dışında bir yazma veya okuma kusuru, belleğin daha kritik işlevlere ayrılmış bölümlerinin manipüle edilmesini mümkün kılar. Bu, bir saldırganın, programın ve kullanıcının sahip olmaması gereken izinlerle yürütüleceği belleğin bir bölümüne kod yazmasına olanak verebilir.
Serbest kaldıktan sonra kullan (UAF), bir programın çalışması sırasında dinamik belleğin yanlış kullanılmasından kaynaklanan bir güvenlik açığıdır. Bir bellek konumunu boşalttıktan sonra bir program, bu belleğin işaretçisini temizlemezse, bir saldırgan bu hatayı programı manipüle etmek için kullanabilir.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.