Apple, macOS Ventura, iPadO’lar ve iOS için yamalar yayınladı. Yamalı güvenlik açıkları arasında, vahşi ortamda kullanılmış olabilecek bir WebKit güvenlik açığı vardır.
Apple, macOS Ventura 13.2.1 ile iOS 16.3.1 ve iPadOS 16.3.1’in yeni güvenlik içeriği hakkında bilgiler yayınladı.
En göze çarpanı, WebKit’te aktif olarak kullanılmış olabilecek bir güvenlik açığıdır. Aralık 2022’de, okuyucularımızı Apple’ın WebKit’indeki aktif olarak kullanılan başka bir güvenlik açığı konusunda uyarmıştık.
Şu anda yamalanmış güvenlik açığı, Apple’ın gelişmiş kontrollerle giderildiğini söylediği bir tür karışıklığı sorunuydu.
Tip karışıklığı güvenlik açıkları, bir kod parçası kullanılmadan önce kendisine iletilen nesnenin türünü doğrulamadığında meydana gelen programlama kusurlarıdır. Diyelim ki girdi olarak bir sayı bekleyen bir programınız var, ancak bunun yerine bir dizi (yani bir karakter dizisi) alıyor. Program, girdinin gerçekten bir sayı olup olmadığını düzgün bir şekilde kontrol etmez ve üzerinde sanki bir sayıymış gibi aritmetik işlemler yapmaya çalışırsa, bir saldırgan tarafından kötüye kullanılabilecek beklenmedik sonuçlar doğurabilir.
Tür karışıklığı, bir saldırganın işlev işaretçilerini veya verileri yanlış kod parçasına beslemesine izin verebilir. Bazı durumlarda bu, saldırganların savunmasız bir cihazda rasgele kod yürütmesine izin verebilir. Bu nedenle, bir saldırganın kurbanı kötü amaçlı bir web sitesini ziyaret etmesi için kandırması veya sayfalarını oluşturmak için WebKit kullanan uygulamalardan birinde böyle bir sayfayı açması gerekir.
Azaltma
macOS Ventura, iPhone 8 ve sonrası, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası için güncellemeler mevcuttur.
Güncellemelerin tümü, düzenli güncelleme rutinlerinizde size ulaşmış olmalıdır, ancak cihazınızın en son güncelleme seviyesinde olup olmadığını kontrol etmekten zarar gelmez.
iPhone veya iPad’inizi nasıl güncellersiniz?
Mac’te macOS nasıl güncellenir?
Aşağıda ele alacağımız güvenlik açığından zaten yararlanıldığı için, cihazlarınızı mümkün olan en kısa sürede güncellemeniz önemlidir.
Bu kuralın bir istisnası olabilir. Bildirildiğine göre, iPhone’daki Google Fotoğraflar kullanıcıları, güncellemenin Google Fotoğraflar’ın bozulmasına neden olduğunu fark ettiler. Bu kullanıcılar, Apple’ın bunu düzeltmesini beklemek isteyebilir ve bu arada bağlantılara tıklarken daha dikkatli davranabilir.
Mac’inize virüs bulaştığından endişe ediyorsanız, Mac için Malwarebytes’i deneyin. Veya Apple cihazlarınız için iOS için Malwarebytes.
güvenlik açıkları
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. Amacı, ayrı güvenlik açığı özellikleri (araçlar, veritabanları ve hizmetler) arasında veri paylaşımını kolaylaştırmaktır. Bu güncellemelerde yamalanan CVE’ler şunlardır:
CVE-2023-23514: Apple, iyileştirilmiş bellek yönetimini uygulayarak, serbest kaldıktan sonra kullanım sorununu ele aldı. Serbest bıraktıktan sonra kullan, bir programın çalışması sırasında dinamik belleğin yanlış kullanılmasının sonucu olan bir tür güvenlik açığıdır. Bir bellek konumunu boşalttıktan sonra, bir program bu belleğin işaretçisini temizlemezse, bir saldırgan bu hatayı programı değiştirmek için kullanabilir. Serbest bırakıldıktan sonra belleğe başvurmak, bir programın çökmesine, beklenmeyen değerler kullanmasına veya kod yürütmesine neden olabilir. Bu güvenlik açığı, bir uygulamanın çekirdek ayrıcalıklarıyla rasgele kod yürütmesine izin verebilirdi.
CVE-2023-23522: Bu sorun yalnızca macOS Ventura için geçerlidir. Apple, geçici dosyaların daha iyi işlenmesini uygulayarak bir gizlilik sorununu ele aldı. Yüklü bir uygulama, korumasız kullanıcı verilerini gözlemlemiş olabilir.
CVE-2023-23529: Bu, aktif olarak istismar edilmiş olabileceği bildirilen bir hatadır. WebKit’te bulunabilir. WebKit, Apple’ın Safari’ye güç veren ve web sayfalarını diğer uygulamalarda işleyen web işleme motorudur.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.