Apple, saldırganların iPhone, iPad ve Mac’leri hacklemek için kullandığı iki sıfırıncı gün güvenlik açığını gidermek için Perşembe günü güvenlik güncellemeleri yayınladı.
Sıfır gün güvenlik hataları, yazılım satıcısının bilmediği ve düzeltmediği kusurlardır. Bazı durumlarda, kamuya açık kavram kanıtı istismarlarına da sahiptirler veya vahşi doğada aktif olarak istismar edilebilirler.
İçinde güvenlik tavsiyeler Bugün yayınlanan Apple, sorunların “aktif olarak istismar edilmiş olabileceği” raporlarının farkında olduklarını söyledi.
İki kusur, Intel Grafik Sürücüsünde uygulamaların çekirdek belleği okumasına izin veren bir sınır dışı yazma sorunu (CVE-2022-22674) ve AppleAVD’de bir sınır dışı okuma sorunudur (CVE-2022-22675). Uygulamaların çekirdek ayrıcalıklarıyla rastgele kod yürütmesini sağlayacak medya kod çözücü.
Hatalar anonim araştırmacılar tarafından bildirildi ve Apple tarafından sırasıyla gelişmiş giriş doğrulama ve sınır denetimiyle iOS 15.4.1, iPadOS 15.4.1 ve macOS Monterey 12.3.1’de düzeltildi.
Etkilenen cihazların listesi şunları içerir:
- macOS Monterey çalıştıran Mac’ler
- iPhone 6s ve üstü
- iPad Pro (tüm modeller), iPad Air 2 ve üstü, iPad 5. nesil ve üstü, iPad mini 4 ve üstü ve iPod touch (7. nesil).
Apple, vahşi doğada aktif istismarı açıkladı, ancak bu saldırılarla ilgili herhangi bir ek bilgi yayınlamadı.
Bu bilgilerin saklanması, büyük olasılıkla, güvenlik güncellemelerinin, tehdit aktörleri ayrıntıları öğrenip şu anda yama uygulanmış sıfır günleri kötüye kullanmaya başlamadan önce mümkün olduğunca çok sayıda iPhone, iPad ve Mac’e ulaşmasına izin verecek şekilde tasarlanmıştır.
Bu sıfır günler muhtemelen yalnızca hedefli saldırılarda kullanılmış olsa da, olası saldırı girişimlerini engellemek için bugünün güvenlik güncellemelerini mümkün olan en kısa sürede yüklemeniz şiddetle tavsiye edilir.
Bu yıl Apple tarafından yamalı beş sıfır gün
Ocak ayında, Apple, aktif olarak sömürülen iki sıfır günü daha yamaladı saldırganların çekirdek ayrıcalıklarıyla (CVE-2022-22587) rastgele kod yürütmesine ve web’de gezinme etkinliğini ve kullanıcıların kimliklerini gerçek zamanlı olarak izlemesine (CVE-2022-22594) olanak sağlayabilir.
Şubat ayında Apple güvenlik güncellemelerini yayınladı yeni bir sıfır gün hatasını düzeltmek için iPhone’ları, iPad’leri ve Mac’leri hacklemek için kullanılır ve kötü amaçlarla oluşturulmuş web içeriğini işledikten sonra işletim sistemi çökmelerine ve güvenliği ihlal edilmiş cihazlarda uzaktan kod yürütülmesine neden olur.
Bu ilk üç sıfır gün, iPhone’ları (iPhone 6’lar ve sonraki sürümleri), macOS Monterey çalıştıran Mac’leri ve birden çok iPad modelini de etkiledi.
Şirket ayrıca uğraşmak zorunda kaldı vahşi doğada sömürülen neredeyse bitmeyen bir sıfır gün akışı 2021 boyunca iOS, iPadOS ve macOS cihazlarını hedeflemek için.
Bu liste birden çok NSO’nun Pegasus casus yazılımını dağıtmak için kullanılan kusurlar gazetecilere, aktivistlere ve politikacılara ait iPhone’larda.