Apple, iPhone ve iPad kullanıcılarını maksat alan taarruzlarda istismar edilen yeni bir sıfırıncı gün güvenlik açığını onarmak için acil güvenlik güncellemeleri yayınladı.
Şirket Çarşamba günü yayınladığı bir duyuruda “Apple, bu sorunun iOS 16.6’dan evvelki iOS sürümlerinde faal olarak istismar edilmiş olabileceğine dair bir raporun farkındadır” dedi.
Sıfırıncı gün (CVE-2023-42824), XNU çekirdeğinde keşfedilen ve lokal saldırganların yamalanmamış iPhone ve iPad’lerde ayrıcalıklarını artırmasına imkan tanıyan bir zayıflıktan kaynaklanıyor.
Apple, iOS 17.0.3 ve iPadOS 17.0.3‘teki güvenlik problemini geliştirilmiş denetimlerle ele aldığını belirtirken, açığı kimin bulduğunu ve bildirdiğini şimdi açıklamadı.
Etkilenen aygıtların listesi hayli kapsamlı ve şunları içeriyor:
- iPhone XS ve sonrası
- iPad Pro 12.9 inç 2. jenerasyon ve üzeri, iPad Pro 10.5 inç, iPad Pro 11 inç 1. jenerasyon ve üzeri, iPad Air 3. kuşak ve üzeri, iPad 6. jenerasyon ve üzeri ve iPad küçük 5. kuşak ve üzeri
Apple ayrıyeten CVE-2023-5217 olarak izlenen ve açık kaynaklı libvpx görüntü codec kütüphanesinin VP8 kodlamasındaki bir yığın arabellek taşması zayıflığından kaynaklanan ve başarılı bir istismarın akabinde keyfi kod yürütülmesine müsaade verebilecek bir sıfır günü de ele aldı.
libvpx yanılgısı daha evvel Google tarafından Chrome web tarayıcısında ve Microsoft tarafından Edge, Teams ve Skype eserlerinde yamalanmıştır.
CVE-2023-5217, yüksek riskli bireyleri amaç alan devlet dayanaklı maksatlı casus yazılım akınlarında sıklıkla istismar edilen sıfır gün bulmasıyla bilinen güvenlik uzmanlarından oluşan bir grup olan Google’ın Tehdit Tahlil Kümesi’nin (TAG) bir kesimi olan güvenlik araştırmacısı Clément Lecigne tarafından keşfedildi.
Apple kullanıcılarının en kısa müddette güvenlik güncellemesi yapması gerektiğini belirtti.
Apple, bu yıl düzeltilen taarruzlarda istismar edilen 17. sıfır gün güvenlik açığını ele aldı.
