Apple, ekosistemindeki birden fazla güvenlik açığı için bir dizi yama yayınladı; bunların arasında, Safari web tarayıcısının temelini oluşturan açık kaynaklı WebKit tarayıcı motorunda keşfedilen kritik sıfır gün de bulunuyor.
Söz konusu güvenlik açığı CVE-2024-23222 olarak takip ediliyor ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) listesine zaten eklenmiş durumda, bu da özellikle etkili olabileceği anlamına geliyor. Apple, “bu sorunun kötüye kullanılmış olabileceğine dair bir rapordan haberdar olduklarını” söyledi.
CVE-2024-2322, kötü amaçlarla hazırlanmış web içeriğinin işlenmesinin, bir tehdit aktörünün kurbanın cihazında rastgele kod yürütme gerçekleştirmesine olanak sağlayabileceği bir tür karışıklığı sorunudur.
Yama, iPhone’lardan iPad’lere, Mac’lerden Apple TV’lere kadar çok çeşitli Apple cihazlarını kapsıyor. Etkilenen cihazların ve işletim sistemi sürümlerinin tam bir dökümü Apple’da mevcuttur.
Hem iOS hem de Android cihazlarda mobil uygulama savunması uzmanı olan AppDome’un güvenlik ürünlerinden sorumlu başkan yardımcısı Alan Bavosa, sıfır gün hakkında şunları söyledi: “Apple’ın güvenlik açığı CVE-2024-23222 ve bunun iOS 17.3’te kullanılması endişe verici.
“Uzaktan kod yürütmeyi, casus yazılımları ve çekirdek istismarlarını kapsayan tanınmış potansiyel saldırı vektörleri, saldırganların iOS aygıtları üzerinde tam kontrol sahibi olmasına ve çalışan korumasız uygulamaları veya hesapları tehlikeye atmasına olanak tanıdığından mobil güvenlik alanındaki bu tehdidin ciddiyetinin altını çiziyor.” cihazda” dedi.
Apple, geleneksel olarak ürünlerindeki güvenlik açıkları konusunda ağzı sıkı davranır ve daha fazla tehdit aktörünün istismar girişiminde bulunmasını önlemek için nadiren temel bilgilerden fazlasını sunar ve bu, yine yılın ilk büyük güvenlik güncellemesi için de geçerli; şirket daha fazla bilgi sunmadı. sömürünün boyutu veya arkasında kimin olabileceği.
Geçmişte, ürünlerini, özellikle de iPhone’ları etkileyen sıfır günler, ürünlerini ve hizmetlerini aktivistler gibi ilgili kişileri gözetlemek için kullanan hükümet müşterilerine satarken meşru iş olarak faaliyet gösteren paralı casus yazılım şirketleri tarafından sıklıkla istismar ediliyordu. gazeteciler ve siyasi rakipler.
Bunun en güncel örneği, gözden düşmüş İsrailli firma NSO Group tarafından geliştirilen ve 2018’deki cinayete karışan kötü amaçlı yazılım Pegasus’tur. Washington Post journalist and Saudi dissident Jamal Khashoggi in Türkiye.
İlgili bir haberde, Apple’ın Kasım 2021’de NSO aleyhine açtığı dava, bu hafta ABD’li bir yargıcın NSO’nun İsrail’de bir duruşma lehine davayı reddetme talebini reddetmesiyle Apple’ın lehine ilerledi. NSO, bir davanın ABD’de ilerlemesi durumunda kendi ülkesinde olduğundan daha fazla zorlukla karşılaşacağını savundu.
Hakim James Donato, kararında ayrıca Apple’ın ABD Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası ile Kaliforniya Haksız Rekabet Yasası’nın ihlali nedeniyle açtığı davanın temelini de onayladı.
NSO’ya, Apple’ın şikayetine yanıt vermesi için 14 Şubat Sevgililer Günü’ne kadar süre verildi ve vaka yönetimi duruşmasının Nisan ayında yapılması planlanıyor.
Apple sözcüsü gazetecilere, kullanıcıları paralı casus yazılım geliştiricilerinden korumak için çalışmalarına devam edeceğini söyledi.