Cisa bugün Apple iPhone'ları, Mac'leri, TV'leri ve saatleri etkileyen yamalı bir çekirdek güvenlik kusurunun artık saldırılarda aktif olarak sömürüldüğü konusunda uyardı.
CVE-2022-48618 olarak izlenen ve Apple'ın güvenlik araştırmacıları tarafından keşfedilen hata, 9 Ocak'ta Aralık 2022'de yayınlanan bir güvenlik danışmanlığına yapılan bir güncellemede açıklandı.
Şirket, güvenlik açığının iki yıldan fazla bir süre önce danışmanlık ilk yayınlandığı zaman sessizce yamalı olup olmadığını henüz açıklamamıştır.
Şirket, "Keyfi okuma ve yazma özelliğine sahip bir saldırgan, işaretçi kimlik doğrulamasını atlayabilir."
"Apple, bu sorunun iOS 15.7.1'den önce yayınlanan iOS sürümlerine karşı kullanılmış olabileceğine dair bir raporun farkında."
Bu yanlış kimlik doğrulama güvenlik açığı, saldırganların bellek yolsuzluk hatalarından yararlanmaya çalışan saldırıları engellemek için tasarlanmış bir güvenlik özelliği olan işaretçi kimlik doğrulamasını atlamasını sağlar.
Apple, iOS 16.2 veya daha sonraki, iPados 16.2 veya sonraki, macOS Ventura veya daha yeni, TVOS 16.2 veya üstü ve WatchOS 9.2 veya üstü çalıştıran cihazlarda gelişmiş kontroller ile kusura hitap etti.
Aktif olarak sömürülen bu kusurdan etkilenen cihazların listesi oldukça geniştir ve aşağıdakiler de dahil olmak üzere hem eski hem de yeni modelleri etkiler.
Apple henüz CVE-2022-48618 Wild'daki aktif sömürü hakkında daha fazla ayrıntı paylaşmamış olsa da, CISA bilinen sömürülen güvenlik açıkları kataloğuna güvenlik açığını ekledi.
Ayrıca, ABD federal ajanslarına Kasım 2021'de yayınlanan bir bağlayıcı operasyonel direktifin (BOD 22-01) gerektirdiği gibi, böceği 21 Şubat'a kadar düzeltmelerini emretti.
Geçen hafta Apple, saldırganların savunmasız iPhone'lar, MAC'ler ve Apple TV'lerde kod yürütülmesi için sömürülebileceği bir webkit karışıklık sorunu olan saldırılarda kullanılmayan bu yılki ilk sıfır gün hatası (CVE-2024-23222) yama için güvenlik güncellemeleri yayınladı.
Aynı gün, şirket ayrıca CVE-2023-42916 ve CVE-2023-42917 olarak izlenen ve yeni cihazlar için Kasım ayında yamalanan iki Webkit sıfır günü için eski iPhone ve iPad modellerine yamaları da destekledi.
Apple, bu yıl saldırılarda kullanılan ilk sıfır gün hatasını düzeltiyor
iPhone uygulamaları kötüye kullanımı iOS, kullanıcı verilerini toplamak için bildirimleri basar
Çatlak macOS uygulamaları DNS Records'tan alınan komut dosyalarını kullanarak cüzdanları boşaltın
ISHutDown komut dosyaları iPhone'unuzda iOS Spyware'i algılamaya yardımcı olabilir
iPhone Üçgenleme Saldırısı Kötü Belgesiz Donanım Özelliği
Kaynak: Bleeping Computer