Apple, bu ayın başlarında yayınlanan iPhone'lara ve iPad'lere, saldırganların eşleştirilmemiş cihazlarda keyfi kod yürütmesine izin veren uzaktan kullanılabilir bir Webkit Zero Day'e hitap eden Backport yamalarına yeni güvenlik güncellemeleri yayınladı.
Bu sıfır gün güvenlik açığı, 17 Ağustos'ta MacOS Monterey ve iPhone/iPad cihazları ve 18 Ağustos'ta Safari için MacOS Monterey ve iPhone/iPad cihazları için aynı Apple ile aynı.
Kusur, CVE-2022-3289 olarak izlenir ve Webkit'te, Safari tarafından kullanılan web tarayıcı motoru ve web'e erişmek için kullanılan web tarayıcısı motorudur.
Başarılı bir şekilde sömürülürse, saldırganların hedeflerini kontrolleri altında kötü niyetli hazırlanmış bir web sitesini ziyaret etmek için kandırarak keyfi kod yürütmeyi uzaktan gerçekleştirmelerine olanak tanır.
Bugün yayınlanan bir güvenlik danışmanında Apple, bir kez daha bu güvenlik sorununun "aktif olarak sömürülmüş olabileceğinin" raporlarının farkında olduklarını söyledi.
Günümüzün güvenlik güncellemelerinin listesi, iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad Mini 2, iPad Mini 3 ve iPod Touch'ı (6. Nesil) içerir.
Apple, vahşi doğada aktif sömürü raporları aldığını açıklamış olsa da, şirket henüz bu saldırılarla ilgili bilgi yayınlamadı.
Bu bilgileri saklayarak Apple, muhtemelen diğer saldırganlar sıfır günün ayrıntılarını almadan ve savunmasız iPhone'ları ve iPad'leri hedefleyen kendi saldırılarında istismarları dağıtmaya başlamadan önce güvenlik güncellemelerini uygulamaya izin vermeyi amaçlamaktadır.
Her ne kadar bu sıfır gün güvenlik açığı büyük olasılıkla sadece hedeflenen saldırılarda kullanılmış olsa da, potansiyel saldırı denemelerini engellemek için bugünün iOS güvenlik güncellemelerini mümkün olan en kısa sürede kurmanız şiddetle tavsiye edilmektedir.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bu güvenlik hatasını 19 Ağustos'ta sömürülen güvenlik açıkları kataloğuna ekleyerek Federal Sivil Yürütme Şubesi (FCEB) ajanslarının "aktif tehditlere" karşı korunmasını gerektirdi.
Bu, yılın başından beri Apple tarafından sabitlenmiş yedinci sıfır gün hatası:
Apple’ın yeni kilitleme modu hükümet casus yazılımlarına karşı savunuyor
Apple, saldırılarda kullanılan sıfır gün hatasını düzeltmek için Safari 15.6.1'i serbest bırakır
Google Chrome Acil Durum Güncellemesi, saldırılarda kullanılan yeni sıfır günü düzeltiyor
1.000'den fazla iOS uygulaması, sabit kodlu AWS kimlik bilgilerini ortaya çıkardı
Bilgisayar korsanları, sıfır gün hatasını sömürerek Bitcoin ATM'lerinden kripto çalıyor
Kaynak: Bleeping Computer