ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), vahşi doğada istismar edilen güvenlik açıkları kataloğuna iPhone’ları, iPad’leri ve Mac’leri hedeflemek için kullanılan bir Apple WebKit uzaktan kod yürütme hatası olan yeni bir kusur ekledi.
Göre bağlayıcı operasyonel yönerge (BOD 22-01) CISA tarafından Kasım ayında yayınlanan, federal kurumların artık sistemlerini iOS, iPadOS ve macOS cihazlarını etkileyen bu aktif olarak yararlanılan güvenlik açığına karşı düzeltmeleri gerekiyor.
CISA, tüm Federal Sivil Yürütme Organları (FCEB) kurumlarının CVE-2022-22620 olarak izlenen güvenlik açığını düzeltmesi gerektiğini söyledi. [1, 2] 25 Şubat 2022’ye kadar.
Siber güvenlik ajansı, “Bu tür güvenlik açıkları, her türden kötü niyetli siber aktörler için sık görülen bir saldırı vektörüdür ve federal kuruluş için önemli risk oluşturur.” söz konusu.
“BOD 22-01 yalnızca FCEB ajansları için geçerli olsa da, CISA, güvenlik açığı yönetimi uygulamalarının bir parçası olarak Katalog güvenlik açıklarının zamanında düzeltilmesine öncelik vererek tüm kuruluşları siber saldırılara maruz kalmalarını azaltmaya şiddetle teşvik ediyor.”
Dün CISA da FCEB kurumlarından diğer 15 güvenlik açığını düzeltmesini istedi aktif sömürü altında olarak etiketlendi, CVE-2021-36934 — ayrıcalık yükseltme ve kimlik bilgisi hırsızlığına izin veren bir Microsoft Windows SAM (Güvenlik Hesapları Yöneticisi) hatası — 24 Şubat yama bitiş tarihine sahip.
Bu yıl Apple tarafından üçüncü sıfır gün yaması
CVE-2022-22620, Apple’ın 2022’nin başlangıcından bu yana yamaladığı üçüncü sıfır gün ve bir WebKit’tir. Ücretsiz Sonra Kullan İşletim sistemi çökmeleri için istismar edilebilir sorun ve savunmasız cihazlarda kod yürütme.
Başarılı bir şekilde yararlanma, saldırganların Safari kullanarak kötü amaçlarla hazırlanmış web sayfalarını açtıktan sonra iPhone’larda, iPad’lerde ve Mac’lerde rastgele kod yürütmesine olanak tanır.
“Özellikle, iOS ve iPadOS için tüm tarayıcılar bu açık kaynaklı motora dayalıdır – yani yalnızca iPhone’un varsayılan Safari’si değil, aynı zamanda Google Chrome, Mozilla Firefox ve diğerleri.” Kaspersky dedi bugün. “Yani Safari kullanmasanız bile bu güvenlik açığı sizi doğrudan etkiliyor.”
Sıfır günü açıklarken şirket, “Apple, bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir raporun farkında” dedi.
Apple, iOS 15.3.1, iPadOS 15.3.1 ve macOS Monterey 12.2.1’de geliştirilmiş bellek yönetimiyle bu güvenlik açığını giderdi.
Etkilenen cihazların tam listesi oldukça kapsamlıdır ve iPhone 6s ve sonraki modellerini, birden çok iPad modelini ve macOS Monterey çalıştıran Mac’leri içerir.
Bu kusur muhtemelen yalnızca az sayıda hedefli saldırıda kullanılmış olsa da, CISA’nın bugün erken saatlerde teşvik ettiği gibi, olası saldırı girişimlerini engellemek için güncellemeleri mümkün olan en kısa sürede yüklemeniz şiddetle tavsiye edilir.
Ocak ayında, Apple ayrıca aktif olarak sömürülen diğer iki sıfır günü yamaladı bu, saldırganların göz atma etkinliğini ve kullanıcıların kimliklerini gerçek zamanlı olarak izlemesine (CVE-2022-22594) ve çekirdek ayrıcalıklarıyla (CVE-2022-22587) rasgele kod yürütmesi elde etmesine izin verebilir.