Çarşamba günü elma piyasaya sürülmüş iOS 15.3 ve macOS Monterey 12.2, Safari’deki gizliliği ortadan kaldıran hata için bir düzeltmenin yanı sıra, cihazlarına girmek için vahşi doğada istismar edildiğini söylediği bir sıfır gün kusuru içeriyor.
olarak izlendi CVE-2022-22587güvenlik açığı, IOMobileFrameBuffer bileşeninde, kötü amaçlı bir uygulama tarafından çekirdek ayrıcalıklarıyla rasgele kod yürütmek için kötüye kullanılabilecek bir bellek bozulması sorunuyla ilgilidir.
iPhone üreticisi, “bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir raporun farkında olduğunu” söyledi ve sorunu gelişmiş girdi doğrulamasıyla ele aldığını ekledi. Saldırıların niteliği, ne kadar yaygın olduğu veya saldırılardan yararlanan tehdit aktörlerinin kimlikleri hakkında bilgi verilmedi.
Meysam Firouzi ve Siddharth Aeri ile birlikte anonim bir araştırmacı, kusuru keşfetme ve bildirme konusunda itibar kazandı.
CVE-2022-22587, CVE-2021-30807 ve CVE-2021-30883’ten altı ay sonra IOMobileFrameBuffer’da keşfedilen üçüncü sıfır gün güvenlik açığıdır. Aralık 2021’de Apple, ekran çerçeve arabelleğini yönetmek için kullanılan çekirdek uzantısındaki dört ek zayıflığı çözdü.
Ayrıca teknoloji devi tarafından Safari’de, yazılımın hatalı bir şekilde uygulanmasından kaynaklanan yakın zamanda açıklanan bir güvenlik açığı da düzeltildi. IndexedDB API’si (CVE-2022-22594), kötü niyetli bir web sitesi tarafından kullanıcıların web tarayıcısındaki çevrimiçi etkinliklerini izlemek ve hatta kimliklerini ortaya çıkarmak için kötüye kullanılabilir.
Notun diğer kusurları şunları içerir:
- CVE-2022-22584 – ColorSync’te, kötü amaçlı hazırlanmış bir dosya işlenirken rastgele kod yürütülmesine neden olabilecek bir bellek bozulması sorunu
- CVE-2022-22578 – Crash Reporter’da kötü amaçlı bir uygulamanın kök ayrıcalıkları kazanmasına izin verebilecek bir mantık sorunu
- CVE-2022-22585 – iCloud’da, bir kullanıcının dosyalarına erişmek için sahte bir uygulamadan yararlanılabilecek bir yol doğrulama sorunu
- CVE-2022-22591 – Intel Grafik Sürücüsünde, kötü amaçlı bir uygulama tarafından çekirdek ayrıcalıklarıyla rastgele kod yürütmek için kötüye kullanılabilecek bir bellek bozulması sorunu
- CVE-2022-22593 – Çekirdek ayrıcalıklarıyla rastgele kod yürütmek için kötü amaçlı bir uygulama tarafından kötüye kullanılabilecek Çekirdekte bir arabellek taşması sorunu
- CVE-2022-22590 – WebKit’te, kötü amaçlarla oluşturulmuş web içeriği işlenirken rastgele kod yürütülmesine yol açabilecek ücretsiz kullanım sonrası sorunu
bu güncellemeler iPhone 6s ve üstü, iPad Pro (tüm modeller), iPad Air 2 ve üstü, iPad 5. nesil ve üstü, iPad mini 4 ve üstü, iPod touch (7. nesil) ve çalışan macOS cihazları için kullanılabilir Büyük Sur, Katalinave Monterey.