Apple, bu ayın başlarında eski iPhone ve iPad’lerde, saldırganların yama uygulanmamış cihazlarda rasgele kod yürütmesine olanak tanıyan, uzaktan sömürülebilir bir WebKit sıfır gününü ele alan yama yamalarını desteklemek için yeni güvenlik güncellemeleri yayınladı.
Bu sıfır gün güvenlik açığı, Apple’ın macOS Monterey ve iPhone/iPad aygıtları için yamaladığı güvenlik açığıyla aynıdır. 17 Ağustos’tave Safari için 18 Ağustos’ta.
Kusur CVE-2022-3289 olarak izleniyor ve Safari ve diğer uygulamalar tarafından web’e erişmek için kullanılan web tarayıcı motoru olan WebKit’te sınırların dışında bir yazma güvenlik açığı.
Başarıyla istismar edilirse, saldırganların, hedeflerini kontrolleri altında kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmeleri için kandırarak uzaktan rastgele kod yürütmesine olanak tanır.
İçinde güvenlik danışmanlığı Bugün yayınlanan Apple, bir kez daha bu güvenlik sorununun “aktif olarak istismar edilmiş olabileceğine” dair raporlardan haberdar olduklarını söyledi.
Bugünün güvenlik güncellemelerinin geçerli olduğu cihazların listesi, tümü iOS 12.5.6 çalıştıran iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 ve iPod touch (6. nesil) içerir.
Saldırıları engellemek için eski telefonlarınızı yamalayın
Apple, vahşi doğada aktif istismar raporları aldığını açıklamış olsa da, şirket henüz bu saldırılarla ilgili bilgi yayınlamadı.
Apple, bu bilgileri saklayarak, diğer saldırganlar sıfırıncı günün ayrıntılarını öğrenmeden ve savunmasız iPhone’ları ve iPad’leri hedef alan kendi saldırılarında açıkları dağıtmaya başlamadan önce, mümkün olduğu kadar çok kullanıcının güvenlik güncellemelerini uygulamasına izin vermeyi amaçlıyor.
Bu sıfır gün güvenlik açığı büyük olasılıkla yalnızca hedefli saldırılarda kullanılmış olsa da, olası saldırı girişimlerini engellemek için bugünün iOS güvenlik güncellemelerini mümkün olan en kısa sürede yüklemeniz şiddetle tavsiye edilir.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) da bu güvenlik hatasını 19 Ağustos’ta yararlanılan güvenlik açıkları kataloğuna ekledi ve Federal Sivil Yürütme Organı (FCEB) kurumlarının “aktif tehditlere karşı” koruma sağlamak için bu açığı kapatmasını gerektirdi.
Bu, yılın başından beri Apple tarafından düzeltilen yedinci sıfır gün hatası: