Apple acil durum güncellemesi, iPhone’ları, Mac’leri kesmek için kullanılan sıfır günleri düzeltir
Apple, saldırganların iPhone, iPad ve Mac’leri hacklemek için kullandığı iki sıfırıncı gün güvenlik açığını gidermek için Perşembe günü güvenlik güncellemeleri yayınladı.
Sıfır gün güvenlik hataları, yazılım satıcısının bilmediği ve düzeltmediği kusurlardır. Bazı durumlarda, kamuya açık kavram kanıtı istismarlarına da sahiptirler veya vahşi doğada aktif olarak istismar edilebilirler.
Bugün yayınlanan güvenlik tavsiyelerinde Apple, sorunların “aktif olarak istismar edilmiş olabileceği” raporlarının farkında olduklarını söyledi.
İki kusur, Intel Grafik Sürücüsünde uygulamaların çekirdek belleği okumasına izin veren bir sınır dışı yazma sorunu (CVE-2022-22674) ve AppleAVD’de bir sınır dışı okuma sorunudur (CVE-2022-22675). Uygulamaların çekirdek ayrıcalıklarıyla rastgele kod yürütmesini sağlayacak medya kod çözücü.
Hatalar anonim araştırmacılar tarafından bildirildi ve Apple tarafından sırasıyla gelişmiş giriş doğrulama ve sınır denetimiyle iOS 15.4.1, iPadOS 15.4.1 ve macOS Monterey 12.3.1’de düzeltildi.
Etkilenen cihazların listesi şunları içerir:
macOS Monterey çalıştıran Mac’ler
iPhone 6s ve üstü
iPad Pro (tüm modeller), iPad Air 2 ve üstü, iPad 5. nesil ve üstü, iPad mini 4 ve üstü ve iPod touch (7. nesil).
Apple, vahşi doğada aktif istismarı açıkladı, ancak bu saldırılarla ilgili herhangi bir ek bilgi yayınlamadı.
Bu bilgilerin saklanması, tehdit aktörleri ayrıntıları öğrenip şu anda yama uygulanmış sıfır günleri kötüye kullanmaya başlamadan önce güvenlik güncellemelerinin mümkün olduğunca çok sayıda iPhone, iPad ve Mac’e ulaşmasını sağlamak için tasarlanmıştır.
Bu sıfır günler muhtemelen yalnızca hedefli saldırılarda kullanılmış olsa da, olası saldırı girişimlerini engellemek için bugünün güvenlik güncellemelerini mümkün olan en kısa sürede yüklemeniz şiddetle tavsiye edilir.
Bu yıl Apple tarafından yamalı beş sıfır gün
Ocak ayında Apple , saldırganların çekirdek ayrıcalıklarıyla (CVE-2022-22587) rasgele kod yürütmesine ve web’de gezinme etkinliğini ve kullanıcıların kimliklerini gerçek zamanlı olarak izlemesine (CVE-2022- 22594).
Şubat ayında Apple, iPhone’ları, iPad’leri ve Mac’leri hacklemek için kullanılan ve kötü amaçlarla oluşturulmuş web içeriğini işledikten sonra güvenliği ihlal edilmiş cihazlarda işletim sistemi çökmelerine ve uzaktan kod yürütülmesine yol açan yeni bir sıfır gün hatasını düzeltmek için güvenlik güncellemeleri yayınladı.
Bu ilk üç sıfır gün, iPhone’ları (iPhone 6’lar ve sonraki sürümleri), macOS Monterey çalıştıran Mac’leri ve birden çok iPad modelini de etkiledi.
Şirket ayrıca 2021 boyunca iOS, iPadOS ve macOS cihazlarını hedeflemek için vahşi doğada istismar edilen neredeyse bitmeyen bir sıfır gün akışıyla uğraşmak zorunda kaldı .
Bu liste, NSO’nun Pegasus casus yazılımını gazetecilere, aktivistlere ve politikacılara ait iPhone’lara yerleştirmek için kullanılan birçok kusuru içeriyor.
Metnin aslına ulaşmak için: