Apple, iPhone'ları, iPad'leri ve Mac'leri hacklemek için yapılan saldırılarda kullanılan yeni bir sıfır günlük güvenlik açığını ele almak için acil güvenlik güncellemeleri yayınladı.
Bugün sıfır gün yaması, CVE-2023-23529 [1, 2] olarak izlenir ve işletim sistemi çökmelerini tetiklemek ve tehlikeye atılan cihazlarda kod yürütme kazanmak için kullanılabilecek bir webkit karışıklık sorunudur.
Başarılı sömürü, saldırganların kötü niyetli bir web sayfası açtıktan sonra savunmasız iOS, iPados ve macOS sürümlerini çalıştıran cihazlarda keyfi kod yürütmelerini sağlar (hata, MacOS Big Sur ve Monterey'de Safari 16.3.1'i de etkiler).
"Kötü niyetli bir şekilde hazırlanmış web içeriğinin işlenmesi keyfi kod yürütülmesine yol açabilir. Apple, bu sorunun aktif olarak sömürülmüş olabileceğine dair bir raporun farkındadır." Dedi.
Diyerek şöyle devam etti: "Toronto Üniversitesi Munk Okulu'ndaki Vatandaş Laboratuarını yardımları için kabul etmek istiyoruz."
Apple, iOS 16.3.1, iPados 16.3.1 ve MacOS Ventura 13.2.1'de geliştirilmiş kontrollerle CVE-2023-23529'u ele aldı.
Etkilenen cihazların tam listesi oldukça geniştir, çünkü hata eski ve yeni modelleri etkilediğinden ve şunları içerir:
Bugün, Apple ayrıca Pangu Lab'dan Xinru Chi ve Google Project Zero'dan Ned Williamson tarafından Mac ve iphone'larda çekirdek ayrıcalıkları ile keyfi kodlara yol açabilecek serbest kusurdan (CVE-2023-23514) bir çekirdek kullanımını yamaladı.
Şirket, Wild Sömürü Raporlarının farkında olduğunu açıklasa da, bu saldırılarla ilgili henüz bilgi yayınlamamıştır.
Bu bilgilere erişimi kısıtlayarak Apple, daha fazla saldırgan, savunmasız iPhone'ları, iPad'leri ve Mac'leri hedefleyen kendi özel istismarlarını geliştirmek ve dağıtmak için daha fazla saldırgan sıfır günün ayrıntılarını almadan önce cihazlarını güncellemesine izin vermek istiyor.
Bu sıfır gün hatası muhtemelen sadece hedeflenen saldırılarda kullanılmış olsa da, potansiyel saldırı denemelerini engellemek için bugünün acil güncellemelerini mümkün olan en kısa sürede kurmak şiddetle tavsiye edilir.
Geçen ay Apple, Google'ın tehdit analiz grubundan Clément Lecigne tarafından daha eski iPhone'lara ve iPad'lere keşfedilen uzaktan sömürülebilir bir sıfır gün kusuru için güvenlik yamalarını da geri döndürdü.
Apple, eski iPhone'larda, iPad'lerde aktif olarak sömürülen iOS Zero Day'i düzeltiyor
Microsoft Şubat 2023 Patch Salı Düzeltmeleri 3 Sökülen Sıfır Günleri, 77 Kusur
Aktif olarak sömürülen Goany Where Mft Zero-Day acil durum yaması alır
Aktif olarak sömürülen Goany Where Mft Zero-Day için serbest bırakılan istismar
Goanywhere Mft Zero-Day Güvenlik Açığı, bilgisayar korsanlarının ihlal sunucularına izin verir
Kaynak: Bleeping Computer