Apple, aktif olarak istismar edildiğini söylediği bir dizi kusuru gidermek için birkaç ürün için güvenlik güncellemeleri yayınladı.
Apple, aktif olarak istismar edildiğini söylediği bir dizi kusuru gidermek için birkaç ürün için güvenlik güncellemeleri yayınladı.
Bu ürünler için güncellemeler mevcuttur:
|
Safari 16.5.1 |
macOS Big Sur ve macOS Monterey |
|
iOS 16.5.1 ve iPadOS 16.5.1 |
iPhone 8 ve sonrası, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası |
|
iOS 15.7.7 ve iPadOS 15.7.7 |
iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil) |
|
macOS Ventura 13.4.1 |
|
|
macOS Monterey 12.6.7 |
|
|
macOS Big Sur 11.7.8 |
|
|
watchOS 9.5.2 |
Apple Watch Series 4 ve sonrası |
|
watchOS 8.8.1 |
Apple Watch Series 3, Series 4, Series 5, Series 6, Series 7 ve SE |
Güncellemeler, düzenli güncelleme rutinlerinizde size zaten ulaşmış olabilir, ancak cihazınızın en son güncelleme seviyesinde olup olmadığını kontrol etmekten zarar gelmez. Aygıtınız için bir Safari güncellemesi varsa macOS, iOS veya iPadOS’i güncelleyerek veya yükselterek alabilirsiniz.
iPhone veya iPad’inizi nasıl güncellersiniz?
Mac’te macOS nasıl güncellenir?
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. Aktif olarak kullanılan üç CVE şunlardır:
CVE-2023-32434: Tamsayı taşması nedeniyle Çekirdekte bir güvenlik açığı. Başarılı bir istismar, saldırganın çekirdek ayrıcalıklarıyla rasgele kod yürütmesini sağlar. Apple, bu sorunun iOS 15.7’den önce yayınlanan iOS sürümlerinde aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır. Bu güvenlik açığı sözde Üçgenleme Operasyonunun bir parçasıydı.
CVE-2023-32435: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch için WebKit bileşeninde bellek bozulması sorunu (7. nesil). Web içeriğinin işlenmesi, rastgele kod yürütülmesine neden olabilir. Apple, bu sorunun iOS 15.7’den önce yayınlanan iOS sürümlerinde aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır. Bu güvenlik açığı aynı zamanda Üçgenleme Operasyonunun bir parçasıydı.
CVE-2023-32439: WebKit bileşeninde bir tür karışıklığı sorunu. Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, rastgele kod yürütülmesine neden olabilir. Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır.
WebKit, Mac’lerde Safari’ye, iOS ve iPadOS’ta ise tüm tarayıcılara güç veren tarayıcı motorudur (iOS ve iPadOS’teki tarayıcılar bunu kullanmakla yükümlüdür). Ayrıca Mail, App Store ve macOS, iOS ve Linux’taki diğer birçok uygulama tarafından kullanılan web tarayıcı motorudur.
Tamsayı taşması, bir saldırganın programın kullandığı bir sayıyı zararlı olabilecek bir şekilde manipüle etmesine olanak tanıyan bir programlama hatasıdır. Sayı, bir veri arabelleğinin (verileri tutmak için kullanılan bir bellek alanı) uzunluğunu ayarlamak için kullanılıyorsa, bir tamsayı taşması, bir saldırganın bir arabelleğe beklediğinden daha fazla veri yüklemesine izin veren bir güvenlik açığı olan arabellek taşmasına neden olabilir. , saldırganın programı manipüle etmesi için bir yol oluşturur.
Tip karışıklığı güvenlik açıkları, bir kod parçası kullanılmadan önce kendisine iletilen nesnenin türünü doğrulamadığında ortaya çıkan programlama kusurlarıdır. Diyelim ki girdi olarak bir sayı bekleyen bir programınız var, ancak bunun yerine bir dizi (yani bir karakter dizisi) alıyor, eğer program girdinin gerçekten bir sayı olup olmadığını düzgün bir şekilde kontrol etmez ve üzerinde aritmetik işlemler gerçekleştirmeye çalışırsa sanki bir sayıymış gibi, bir saldırgan tarafından suistimal edilebilecek beklenmedik sonuçlar doğurabilir.
Tür karışıklığı, bir saldırganın işlev işaretçilerini veya verileri yanlış kod parçasına beslemesine izin verebilir. Bazı durumlarda bu, saldırganların savunmasız bir cihazda rasgele kod yürütmesine izin verebilir. Bu nedenle, bir saldırganın kurbanı kötü amaçlı bir web sitesini ziyaret etmesi için kandırması veya sayfalarını oluşturmak için WebKit kullanan uygulamalardan birinde böyle bir sayfayı açması gerekir. Operasyon Nirengi durumunda, bunların iMessage aracılığıyla sıfır tıklama istismarları olarak iletildiği bildirildi.
iOS güvenliğini yalnızca rapor etmiyoruz, sağlıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. iOS için Malwarebytes’i bugün indirerek tehditleri iOS cihazlarınızdan uzak tutun.