Apple, Perşembe günü aktif olarak saldırıya uğradığı belirtilen üç yeni sıfır-gün açığıyla ilgili olarak iOS, iPadOS, macOS, tvOS, watchOS ve Safari web tarayıcısı için güvenlik güncellemeleri yayınladı.
Üç güvenlik açığı aşağıda listelenmiştir:
CVE-2023-32409 – Kötü niyetli bir aktör tarafından Web İçerik kum havuzundan çıkmak için kullanılabilecek bir WebKit açığı. Geliştirilmiş sınırlama denetimleriyle çözüldü. CVE-2023-28204 – WebKit’te bir dizi dışı okuma sorunu, web içeriği işlenirken hassas bilgilerin ortaya çıkarılmasına yol açabilecek şekilde kötüye kullanılabilir. Geliştirilmiş giriş doğrulama ile çözüldü. CVE-2023-32373 – WebKit’te kullanımdan sonra serbest bırakma hatası, kötü niyetli hazırlanmış web içeriği işlenirken keyfi kod yürütme sorununa yol açabilir. Geliştirilmiş bellek yönetimiyle çözüldü. iPhone üreticisi, CVE-2023-32409’un bildirilmesi için Google’ın Tehdit Analiz Grubu (TAG) üyesi Clément Lecigne ve Amnesty International Güvenlik Laboratuvarı’ndan Donncha Ó Cearbhaill’e teşekkür etti. Diğer iki sorun için bir anonim araştırmacıya teşekkür edildi.
Önemli bir not olarak, hem CVE-2023-28204 hem de CVE-2023-32373, şirketin ayın başında yayınladığı Hızlı Güvenlik Yanıtı güncellemeleri kapsamında yama aldı – iOS 16.4.1 (a) ve iPadOS 16.4.1 (a).
Şu anda açıklanan hatalarla ilgili ek teknik ayrıntılar, saldırıların doğası veya bunları sömüren tehdit aktörlerinin kimlikleri bulunmamaktadır.
Ancak, bu tür zayıflıklar tarih boyunca hedef odaklı sızmalarda, muhaliflerin, gazetecilerin ve insan hakları aktivistlerinin cihazlarına paralı casus yazılım yüklemek için kullanılmıştır.
En son güncellemeler aşağıdaki cihazlar için mevcuttur:
iOS 16.5 ve iPadOS 16.5 – iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası iOS 15.7.6 ve iPadOS 15.7.6 – iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nes
nüsha), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil) macOS Ventura 13.4 – macOS Ventura tvOS 16.5 – Apple TV 4K (tüm modeller) ve Apple TV HD watchOS 9.5 – Apple Watch Series 4 ve sonrası Safari 16.5 – macOS Big Sur ve macOS Monterey Apple, 2023 yılı başından bu yana toplam altı aktif olarak sömürülen sıfır-gün açığını çözdü. Şirket, Şubat ayında uzaktan kod yürütme yol açabilen bir WebKit açığını (CVE-2023-23529) kapatmıştı.
Ardından geçen ay, ayrıcalıklı izinlerle kod yürütmeye izin veren iki güvenlik açığı (CVE-2023-28205 ve CVE-2023-28206) için düzeltmeler yayınladı. Lecigne ve Ó Cearbhaill, güvenlik açıklarının bildirilmesi için teşekkür edildi.
Hata!
Yorumunuz Çok Kısa, Yorum yapabilmek için en az En az 10 karakter gerekli