Apple, iPhone’ları, iPad’leri, Mac’leri ve Apple TV’leri etkileyebilecek sıfır gün güvenlik açığına yönelik bir yama da dahil olmak üzere birçok ürün için yeni güvenlik güncellemeleri yayınladı.
Apple, hatanın halihazırda istismar edilmiş olabileceğine dair bir raporun farkında olduğunu söyledi. Kullanıcılara güncellemeleri yüklemeleri için yeterli zaman tanımak amacıyla güvenlik açığının niteliğine ilişkin daha fazla ayrıntı açıklanmadı.
Otomatik olarak güncelleme yaparsanız güncellemeler size zaten ulaşmış olabilir, ancak en son sürümde olup olmadığınızı kontrol etmenizin bir zararı olmaz.
Cihazınız için bir Safari güncellemesi mevcutsa bunu iPhone veya iPad’inizi güncelleyerek ya da Mac’inizi güncelleyerek alabilirsiniz.
Güncellemeler aşağıdakiler için kullanılabilir:
| Safari 17.3 | macOS Monterey ve macOS Ventura |
| iOS 17.3 ve iPadOS 17.3 | iPhone XS ve sonraki modeller, iPad Pro 12,9 inç 2. nesil ve sonraki modeller, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve sonraki modeller, iPad Air 3. nesil ve sonraki modeller, iPad 6. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller Daha sonra |
| iOS 16.7.5 ve iPadOS 16.7.5 | iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. nesil, iPad Pro 9,7 inç ve iPad Pro 12,9 inç 1. nesil |
| iOS 15.8.1 ve iPadOS 15.8.1 | iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil) |
| macOS Sonoma 14.3 | macOS Sonoma |
| macOS Ventura 13.6.4 | macOS geliyor |
| macOS Monterey 12.7.3 | macOS Monterey |
| watchOS 10.3 | Apple Watch Series 4 ve sonraki modeller |
| tvOS 17.3 | Apple TV HD ve Apple TV 4K (tüm modeller) |
Teknik detaylar
Sıfır gün güvenlik açığı CVE-2024-23222 olarak listeleniyor: WebKit’te iyileştirilmiş kontrollerle giderilen bir tür karışıklığı sorunu. Bu sorun tvOS 17.3, iOS 17.3 ve iPadOS 17.3, macOS Sonoma 14.3, iOS 16.7.5 ve iPadOS 16.7.5, Safari 17.3, macOS Ventura 13.6.4, macOS Monterey 12.7.3’te düzeltilmiştir. Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, rastgele kod yürütülmesine yol açabilir.
Dinamik yazmayı kullanan JavaScript ve PHP gibi yorumlanmış dillerde tür karışıklığı meydana gelebilir. Dinamik yazımda, bir değişkenin türü, statik olarak yazılan bir dilde derleme zamanında ayarlanmasının aksine, çalışma zamanında belirlenir ve güncellenir. Tür karışıklığı güvenlik açığı, bir saldırganın istenmeyen davranışı tetiklemek için belirli bir değişkenin türünü değiştirme fırsatına sahip olduğu anlamına gelir.
Safari ve diğer uygulamalara güç veren tarayıcı motoru olan WebKit’teki diğer bazı güvenlik açıkları da yamandı.
CISA
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismar kanıtlarına dayanarak bu güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna ekledi. Bu, Federal Sivil Yürütme Organı (FCEB) kurumlarının, cihazlarını aktif tehditlere karşı korumak için 13 Şubat 2024’e kadar bu güvenlik açığını gidermeleri gerektiği anlamına geliyor.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.