Apple, daha önce saldırganlar tarafından iPhone, iPad veya Mac’leri hacklemek için kullanılan iki sıfırıncı gün güvenlik açığını düzeltmek için bugün acil durum güvenlik güncellemeleri yayınladı.
Sıfır gün güvenlik açıkları, yazılım satıcısı farkına varmadan veya bunları yamalamadan önce saldırganlar veya araştırmacılar tarafından bilinen güvenlik açıklarıdır. Çoğu durumda, sıfır günlerin açık kavram kanıtı açıkları vardır veya saldırılarda aktif olarak istismar edilir.
Bugün Apple, aktif olarak istismar edildiği bildirilen iki sıfırıncı gün güvenlik açığını gidermek için macOS Monterey 12.5.1 ve iOS 15.6.1/iPadOS 15.6.1’i yayınladı.
İlki CVE-2022-32894 olarak izlenen iki güvenlik açığı, üç işletim sisteminin tümü için aynıdır. Bu güvenlik açığı, işletim sisteminin Çekirdeğinde bulunan bir sınır dışı yazma güvenlik açığıdır.
Çekirdek, bir işletim sisteminin temel bileşeni olarak çalışan ve macOS, iPadOS ve iOS’ta en yüksek ayrıcalıklara sahip olan bir programdır.
Kötü amaçlı yazılım gibi bir uygulama, Çekirdek ayrıcalıklarıyla kod yürütmek için bu güvenlik açığını kullanabilir. Bu en yüksek ayrıcalık seviyesi olduğundan, bir işlem cihaz üzerinde herhangi bir komutu gerçekleştirebilir ve cihaz üzerinde tam kontrol sağlayabilir.
İkinci sıfır gün güvenlik açığı CVE-2022-32893’tür ve Safari ve web’e erişebilen diğer uygulamalar tarafından kullanılan web tarayıcı motoru olan WebKit’teki sınırların dışında bir yazma güvenlik açığıdır.
Apple, bu kusurun bir saldırganın rastgele kod yürütmesine izin vereceğini ve web motorunda olduğu gibi, kötü amaçlarla oluşturulmuş bir web sitesini ziyaret ederek uzaktan istismar edilebileceğini söylüyor.
Hatalar anonim araştırmacılar tarafından bildirildi ve Apple tarafından iOS 15.6.1, iPadOS 15.6.1 ve macOS Monterey 12.5.1’de düzeltildi ve her iki hatayı da kontrol eden gelişmiş sınırlar.
Her iki güvenlik açığından da etkilenen cihazların listesi:
- macOS Monterey çalıştıran Mac’ler
- iPhone 6s ve üstü
- iPad Pro (tüm modeller), iPad Air 2 ve üstü, iPad 5. nesil ve üstü, iPad mini 4 ve üstü ve iPod touch (7. nesil).
Apple, vahşi doğada aktif istismarı açıkladı, ancak bu saldırılarla ilgili herhangi bir ek bilgi yayınlamadı.
Büyük olasılıkla, bu sıfır günler yalnızca hedefli saldırılarda kullanıldı, ancak yine de bugünün güvenlik güncellemelerini mümkün olan en kısa sürede yüklemeniz şiddetle tavsiye edilir.
Bu yıl Apple tarafından yamalanan yedi sıfır gün
Mart ayında Apple iki sıfır gün hatası daha düzeltildi Intel Grafik Sürücüsünde (CVE-2022-22674) ve AppleAVD’de (CVE-2022-22675) kullanılan ve Çekirdek ayrıcalıklarıyla kod yürütmek için de kullanılabilen.
Ocak ayında, Apple, aktif olarak sömürülen iki sıfır günü daha yamaladı bu, saldırganların çekirdek ayrıcalıklarıyla (CVE-2022-22587) rastgele kod yürütmesine ve web’de gezinme etkinliğini ve kullanıcıların kimliklerini gerçek zamanlı olarak izlemesine (CVE-2022-22594) olanak sağladı.
Şubat ayında Apple güvenlik güncellemeleri yayınladı yeni bir sıfır gün hatasını düzeltmek için iPhone’ları, iPad’leri ve Mac’leri hacklemek için kullanılır ve kötü amaçlarla oluşturulmuş web içeriğini işledikten sonra işletim sistemi çökmelerine ve güvenliği ihlal edilmiş cihazlarda uzaktan kod yürütülmesine neden olur.