Apple, saldırganların iPhone'ları, iPad'leri ve MAC'leri kesmek için kullandığı iki sıfır gün güvenlik açıkını ele almak için Perşembe günü güvenlik güncellemelerini yayınladı.
Sıfır günlük güvenlik hataları kusurlu yazılım satıcısı farkında değil ve yamamamıştır. Bazı durumlarda, halka açık bir şekilde muhasebeleştirilmiş konseptlerin istismarı kanıtı veya vahşi doğada aktif olarak yararlanılabilir.
Günümüzde yayınlanan güvenlik danışmanlarında Apple, "aktif olarak sömürülmüş olabileceğini" bildiren raporların farkında olduklarını söyledi.
İki kusur, uygulamaların çekirdek belleğini okumasını ve geçerli olmayan bir okuma sorunu (CVE-202222675) Uygulamalarda okunmasını sağlayan Intel grafik sürücüsünde sınır dışı bir yazma sorunudur (CVE-2022-22674). Uygulamaların çekirdek ayrıcalıklarıyla keyfi kod yürütmesini sağlayacak medya kod çözücüsü.
Böcekler, anonim araştırmacılar tarafından bildirildi ve IOS 15.4.1, iPados 15.4.1'de Apple ve MacOS Monterey 12.3.1 ile Sırasıyla, GELİŞTİRİLMİŞ GİRİŞ GÜVENLİĞİ VE SINIRLARI GELİŞTİRİLMİŞTİR.
Etkilenmiş cihazların listesi şunları içerir:
Apple vahşi doğada aktif sömürü açıkladı, ancak, bu saldırılarla ilgili ek bilgi yayınlamadı.
Bu bilgiyi durdurmak, güvenlik güncellemelerinin, tehdit aktörleri ayrıntıların üstesinden gelmeden önce mümkün olduğunca çok fazla iPhone, iPad ve Mac'lere ulaşmalarını sağlamak için tasarlanmıştır.
Bu sıfır günler muhtemelen yalnızca hedeflenen saldırılarda kullanılması olsa da, potansiyel saldırı girişimlerini engellemek için günümüzün güvenlik güncellemelerini en kısa sürede yüklemeniz şiddetle tavsiye edilir.
Ocak ayında, Apple, saldırganların çekirdek ayrıcalıklarıyla (CVE-2022222587) isteğe bağlı kod yürütülmesini sağlayabilmelerini ve web tarama etkinliğini ve kullanıcıların kimliklerini gerçek zamanlı olarak (CVE-2022-) izlemelerini sağlayabilen iki kez daha aktif olarak sömürülen sıfır günü yamaladı. 22594).
Şubat ayında, Apple, IPHONES, iPAD'ları ve MAC'leri kesmek için kullanan yeni bir sıfır gün böcek düzeltmesi için güvenlik güncellemelerini serbest bıraktı, işletim sistemi çökmelerine ve kötü niyetli hazırlanmış web içeriğini işleme koyduktan sonra tehlikeye giren cihazlardaki uzak kodlar.
Bu ilk üç sıfır gün ayrıca iPhone'ları (iPhone 6S ve UP), MACOS Monterey'i çalıştıran MAC'ler ve çoklu iPad modellerini etkiledi.
Şirket ayrıca, 2021 boyunca iOS, iPados ve MACOS cihazlarını hedeflemek için vahşi doğada sömürülen neredeyse bitmeyen bir dere akışı ile başa çıkmak zorunda kaldı.
Bu liste, Gazetecilere, aktivistlere ve politikacılara ait olan IPhone'daki NSO'nun Pegasus casus yazılımını dağıtmak için kullanılan birden fazla kusur içerir.
Apple Yamaları Yeni Sıfır Günü Hack Iphone, iPads, Mac'leri kesmek için sömürüldü
CISA, federal ajansları, 25 Şubat'a kadar iPhone'lar, MAC'leri güncellemeye emrediyor
Bu sertifikasyon kursu ile Apple platformlarının nasıl yönetileceğini öğrenin
2021 Mobil Güvenlik: Android daha fazla güvenlik açıklığı, iOS daha sıfır gün
Yeni Bahar Java Framework Sıfır Günü Uzaktan Kod Yürütülmesine İzin Veriyor
Kaynak: Bleeping Computer