Apple, saldırılarda kullanılmayan ve iPhone, iPad ve Mac cihazlarını etkileyen iki sıfır günlük güvenlik açıkını düzeltmek için acil durum güvenlik güncellemeleri yayınladı ve yılın başından beri 20 sıfır gün yamalı.
Şirket, "Apple, bu sorunun iOS 16.7.1'den önce iOS sürümlerine karşı kullanılmış olabileceğine dair bir raporun farkında," dedi.
İki hata, Webkit tarayıcı motorunda (CVE-2023-42916 ve CVE-2023-42917) bulundu, bu da saldırganların zayıf bir şekilde okunması ve bir bellek bozulması yoluyla hassas bilgilere erişim kazanmalarına izin verdi. Kötü niyetli web sayfaları aracılığıyla savunmasız cihazlarda hata.
Şirket, iOS 17.1.2, iPados 17.1.2, MacOS Sonoma 14.1.2 ve Safari 17.1.2'yi çalıştıran cihazların iyileştirilmiş giriş doğrulama ve kilitleme çalıştıran cihazlar için güvenlik kusurlarını ele aldığını söylüyor.
Etkilenen Apple cihazlarının listesi oldukça kapsamlıdır ve şunları içerir:
Güvenlik Araştırmacısı Clément Lecigne, Google'ın Tehdit Analiz Grubu'ndan (TAG) her iki sıfır gün buldu ve bildirdi.
Apple, vahşi doğada devam eden sömürü hakkında bilgi yayınlamamış olsa da, Google etiketi araştırmacıları, gazeteciler, muhalefet politikacıları ve muhalifler gibi yüksek riskli bireylere karşı devlet destekli casus yazılım saldırılarında kullanılan sıfır günleri sık sık bulmuş ve açıklamışlardır.
CVE-2023-42916 ve CVE-2023-42917, Apple'ın bu yıl düzelttiği saldırılarda sömürülen 19 ve 20. sıfır günlük güvenlik açıklarıdır.
Google Tag, XNU çekirdeğinde başka bir sıfır gün hatasını (CVE-2023-42824) açıkladı ve saldırganların savunmasız iPhone'lar ve iPad'lerde ayrıcalıkları artırmasını sağladı.
Apple kısa süre önce Citizen Lab ve Google Tag araştırmacıları tarafından bildirilen üç sıfır günlük böceğini (CVE-2023-41991, CVE-2023-41992 ve CVE-2023-41992 ve CVE-2023-41993) yamaladı.
Citizen Lab, Apple tarafından Eylül ayında sabitlenmiş ve NSO Group'un Pegasus Spyware'i kurmak için sıfır tıkalı bir istismar zincirinin (dublajlı bir istismar zincirinin (dublaj) bir parçası olarak istismar edilen iki sıfır gün (CVE-2023-41061 ve CVE-2023-41064) açıkladı.
Yılın başlangıcından bu yana Apple da yamaladı:
Apple Acil Durum Güncellemesi, iPhone'ları hacklemek için kullanılan yeni sıfır günü düzeltiyor
Apple, eski iPhone'larda iOS çekirdeği sıfır gün güvenlik açığını düzeltir
Bu yenilenmiş 32GB iPad ile 170 dolardan daha azıyla daha fazlasını yapın
ISCanner uygulamasında 30 $ tasarruf edin ve kağıdı dijital belgelere dönüştürün
Sıfır gün kullanılarak arka kapı ile enfekte 40.000'den fazla Cisco IOS XE cihazı
Kaynak: Bleeping Computer