Apple, iPhone ve Mac kullanıcılarını hedefleyen saldırılarda kullanılan üç yeni sıfır günlük güvenlik açıkını yamalamak için acil durum güvenlik güncellemeleri yayınladı.
Webkit tarayıcı motorunda (CVE-2023-41993) ve güvenlik çerçevesinde (CVE-2023-41991) iki hata bulundu, bu da saldırganların kötü niyetli uygulamalar kullanarak imza doğrulamasını atlamalarını veya kötü niyetli olarak hazırlanmış web sayfaları aracılığıyla keyfi kod yürütme kazanmalarını sağladı.
Üçüncüsü, çekirdek uzantıları ve çekirdek yerleşik cihaz sürücüleri için API'ler ve destek sağlayan çekirdek çerçevesinde bulundu. Yerel saldırganlar ayrıcalıkları artırmak için bu kusuru (CVE-2023-41992) kullanabilir.
Apple, MacOS 12.7/13.6, iOS 16.7/17.0.1, iPados 16.7/17.0.1 ve Watchos 9.6.3/10.0.1'deki üç sıfır günlük hatayı bir sertifika doğrulama sorununu ele alarak ve geliştirilmiş kontroller aracılığıyla düzeltti.
"Apple, bu sorunun iOS 16.7'den önce iOS sürümlerine karşı aktif olarak kullanılabileceğine dair bir raporun farkındadır."
Etkilenen cihazların listesi eski ve yeni cihaz modellerini kapsar ve şunları içerir:
Toronto Üniversitesi Munk Okulu'ndaki Citizen Lab'dan Bill Marczak ve Google'ın tehdit analiz grubundan Maddie Stone tarafından üç sıfır gün bulundu ve bildirildi.
Apple henüz Kusurların Vahşi'deki sömürüsü hakkında ek ayrıntılar sağlamamış olsa da, Citizen Lab ve Google Tehdit Analizi Grubu Güvenlik Araştırmacıları, gazeteciler, muhalefet politikacıları da dahil olmak üzere yüksek riskli bireyleri hedefleyen hedeflenen casus yazılım saldırılarında istismar edilen sıfır gün hatalarını açıkladılar. ve muhalifler.
Citizen Lab, bu ayın başlarında acil durum güvenlik güncellemelerinde Apple tarafından da sabitlenmiş ve sıfır tıkalı istismar zincirinin (dublajlı blastpass) bir parçası olarak istismar edilen iki diğer sıfır gün (CVE-2023-41061 ve CVE-2023-41064) açıkladı. NSO Group'un Pegasus ticari casus yazılımı ile tamamen yamalı iPhone'lar.
Yılın başlangıcından bu yana Apple da yamaladı:
Apple Backports Blastpass eski iPhone'lara sıfır gün düzeltmesi
Apple, iPhone'lara Saldırı için Susturan 2 Yeni Sıfır Gününü Açıklıyor, Macs
Apple, iPhone'lara karşı saldırılarda kullanılan yeni sıfır günleri düzeltir
Son zamanlarda yamalı Apple, casus yazılım saldırılarında kullanılmış krom sıfır günleri
Trend Micro Saldırılarda kullanılan uç nokta koruması sıfır gün
Kaynak: Bleeping Computer