Apple, telefonları, iPad’leri, Mac’leri, saatleri ve TV’leri için güvenlik güncellemeleri yayınladı.
Apple, telefonları, iPad’leri, Mac’leri, saatleri ve TV’leri için güvenlik güncellemeleri yayınladı.
Bu ürünler için güncellemeler mevcuttur:
- iPhone XS ve sonraki modeller, iPad Pro 12,9 inç 2. nesil ve sonraki modeller, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modeller, iPad Air 3. nesil ve sonraki modeller, iPad 6. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller daha sonra iOS 17.1 veya iPadOS 17.1’i edinin.
- iPhone 8 ve sonraki sürümleri, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki sürümleri, iPad 5. nesil ve sonraki sürümleri ve iPad mini 5. nesil ve sonraki sürümleri, iOS 16.7.2 veya iPadOS 16.7.2 sürümünü alır.
- iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil) iOS 15.8 veya iPadOS 15.8’i alır.
- Mac’ler macOS Sonoma 14.1, macOS Ventura 13.6.1, macOS Monterey 12.7.1 ve Safari 17.1 sürümlerinden birini alır.
- Apple TV HD ve Apple TV 4K (tüm modeller) tvOS 17.1’i alır.
- Apple Watch Series 4 ve sonraki modeller watchOS 10.1’i alır.
Bu güncelleme dizisinde giderilen önemli güvenlik açıkları şunlardır:
CVE-2023-40423, IOTextEncryptionFamily’de bir uygulamanın çekirdek ayrıcalıklarıyla rastgele kod yürütmesine izin verebilecek kritik bir güvenlik açığı. Rastgele kod yürütme, bir saldırganın hedef makinede veya hedef süreçte kendi seçtiği herhangi bir komutu veya kodu çalıştırabileceği anlamına gelir. Çekirdek ayrıcalıkları, saldırganın tüm makine kaynaklarına en yüksek düzeyde erişime sahip olacağı anlamına gelir.
CVE-2023-40413, Find My’deki bir güvenlik açığı, başkalarının hassas konum bilgilerini okumasına izin verebilir.
CVE-2023-40416, ImageIO’daki bir güvenlik açığıdır; bu, bir görüntünün işlenmesinin işlem belleğinin açığa çıkmasına neden olabileceği anlamına gelir.
CVE-2023-42847, Geçiş Anahtarlarındaki bir güvenlik açığı, bir saldırganın kimlik doğrulama olmadan geçiş anahtarlarına erişmesine izin verebilir. Geçiş anahtarı, parola oluşturup hatırlamaya gerek kalmadan bir uygulama veya web sitesi hesabında oturum açmanın bir yoludur.
Pro Res’teki bir güvenlik açığı olan CVE-2023-42841, bir uygulamanın çekirdek ayrıcalıklarıyla rastgele kod çalıştırmasına izin verebilir.
CVE-2023-41982, CVE-2023-41997 ve CVE-2023-41988, Siri’de, fiziksel erişimi olan bir saldırganın hassas kullanıcı verilerine erişmek için Siri’yi kullanmasına olanak tanıyan bir dizi güvenlik açığıdır.
CVE-2023-40447 ve CVE-2023-42852, WebKit’te rastgele kod yürütmek için kullanılabilecek güvenlik açıklarıdır. Özel hazırlanmış bir web sitesini ziyaret etmek, WebKit’in bir bellek arabelleği üzerinde işlemler yapmasına neden olabilir, ancak arabelleğin amaçlanan sınırının dışındaki bir bellek konumundan okuyabilir veya bu konuma yazabilir.
CVE-2023-32434, bir uygulamanın çekirdek ayrıcalıklarıyla rastgele kod çalıştırmasına izin verebilecek bir güvenlik açığıdır. Apple, bu sorunun iOS 15.7’den önce yayımlanan iOS sürümlerine karşı aktif olarak istismar edilmiş olabileceğine dair bir rapordan haberdardır.
CVE-2023-41989, Emoji’deki bir güvenlik açığı nedeniyle bir saldırganın Kilit Ekranından kök olarak rastgele kod çalıştırmasına izin verebilir. Kilitli bir cihazda sunulan seçenekler kısıtlanarak sorun giderildi. Kök, birçok işletim sisteminde süper kullanıcı hesabıdır. Bu, yönetim amaçlı bir kullanıcı hesabıdır ve genellikle sistemdeki en yüksek erişim haklarına sahiptir.
CVE-2023-38403, 3.14 öncesinde iperf3’te bulunan ve eşlerin hazırlanmış bir uzunluk alanı yoluyla tamsayı taşmasına ve yığın bozulmasına neden olmasına olanak tanıyan bir güvenlik açığıdır. iPerf3, IP ağlarında ulaşılabilir maksimum bant genişliğinin aktif ölçümlerine yönelik bir araçtır. Tamsayı taşması, bir saldırganın programın kullandığı bir sayıyı zararlı olabilecek şekilde değiştirmesine olanak tanıyan bir programlama hatasıdır. Sayı, bir veri arabelleğinin (verileri tutmak için kullanılan bir bellek alanı) uzunluğunu ayarlamak için kullanılırsa, bir tamsayı taşması, bir saldırganın arabelleği beklediğinden daha fazla veriyle aşırı yüklemesine olanak tanıyan bir güvenlik açığı olan arabellek taşmasına yol açabilir. Saldırganın programı manipüle etmesi için bir yol oluşturan. Yığın bozulması, bir program, programa ayrılan belleğin dışındaki bir bellek konumunun içeriğini değiştirdiğinde ortaya çıkar. Sonuç nispeten iyi huylu olabilir ve bellek sızıntısına neden olabilir veya ölümcül olabilir ve genellikle programda bozulmaya neden olan bir bellek hatasına neden olabilir.
CVE-2023-42856, Model I/O’daki bir güvenlik açığı nedeniyle beklenmedik uygulama sonlandırılmasını veya rastgele kod yürütülmesini tetiklemek için kullanılabilir. Model G/Ç, 3D modellere erişme ve yönetme yeteneği sağlar.
CVE-2023-40404, Ağ İletişimindeki bir güvenlik açığı nedeniyle bir uygulamanın çekirdek ayrıcalıklarıyla rastgele kod yürütmesine izin verebilir.
CVE-2023-41977, Safari’de bulunan ve kötü amaçlı bir web sitesinin tarama geçmişini ortaya çıkarmasına izin verebilecek bir güvenlik açığıdır.
Spectre ailesinden gelişmiş bir yan kanal saldırısı olan iLeakage, düzeltilen hatalardan özellikle eksik.
Yukarıdaki güncellemeler size ulaşmış olabilir ancak cihazınızın en son güncelleme seviyesinde olup olmadığını kontrol etmenizin zararı olmaz. Cihazınız için bir Safari güncellemesi mevcutsa iPhone, iPad veya Mac’inizi güncelleyerek veya yükselterek bu güncellemeyi alabilirsiniz.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.