Desteklenen tüm Mac’lerin %35 ila %40’ı, Apple’ın vahşi doğada istismar edildiğini söylediği ancak şirketin henüz bir yama yayınlamadığı iki sıfır günlük güvenlik açığından yüksek düzeyde ödün verme riskiyle karşı karşıya olabilir.
Apple, geçen hafta iki güvenlik açığını (CVE-2022-22675 ve CVE-2022-22674) açıkladı ve bunları macOS, iOS ve iPadOS işletim sistemlerini çalıştıran cihazları etkilediğini açıkladı. Şirket, Apple’ın en yeni macOS Monterey ve iOS 15 ve iPadOS 15 işletim sistemlerinin kullanıcıları için sorunu gideren yazılımın güncellenmiş sürümlerini yayınladı.
Bununla birlikte, Apple, her zamanki uygulamasından bir ara vererek, en azından şimdiye kadar, macOS’un hemen önceki iki sürümündeki (Big Sur ve Catalina) kusurlar için karşılık gelen bir düzeltme yayınlamamış görünüyor, baş güvenlik analisti Joshua Long Intego’da.
Long, Apple’ın geçen Ekim ayında macOS Monterey’i piyasaya sürmesinden bu yana ilk kez, şirketin Big Sur ve Catalina’daki aktif olarak yararlanılan güvenlik açıkları için bir yama yayınlamadığını gösteriyor. Bundan önce üç kez – 21 Ekim, 22 Ocak ve 22 Şubat’ta – şirket, IO Mobil Çerçeve arabelleğinde aktif olarak kullanılan hataları gidermek için Big Sur ve Catalina için eşzamanlı yamalar yayınladı (iki kez) ve WebKit’te.
Aslında, Apple, mevcut macOS için önemli bir güncelleme yayınladığı her seferinde önceki iki macOS sürümünü yamalamayı yaklaşık on yıldır bir uygulama haline getirdiğini belirtiyor.
Intego, Apple’dan bir açıklama almak için birkaç girişimde bulundu, ancak şirket şu ana kadar yanıt vermediğini söyledi. Apple, Intego’nun raporuna ilişkin bir Karanlık Okuma talebine de yanıt vermedi.
Uzun diyor ki Intego’nun tahminleri — Catalina öncesi macOS benimseme oranlarına göre — aktif kullanımda olan Mac’lerin yaklaşık %35 ila %40’ı şu anda macOS Big Sur veya daha eskisini çalıştırıyor ve bu nedenle iki sıfır gün tehdidine karşı savunmasız kalıyor. Long, Apple’ın bu sefer normal yama yayınlama uygulamalarından neden sapmış olabileceğinin net olmadığını söylüyor. Şirketin Big Sur ve Catalina’daki sorunu çözmek için bir planı olup olmadığı da belli değil.
Yama Politikası Belirsiz
Long, “Apple, 2003’te “Apple’ın politikası, mümkün olan her yerde Mac OS X’in geçmiş sürümlerindeki önemli güvenlik açıklarını hızla ele almaktır” demenin ötesinde, yama politikasını hiçbir zaman kamuya açıklamadı. Şirketin netleştirmediği şey, tam olarak neyi önemli bir tehdit olarak tanımladığıdır. “Ancak, vahşi doğada aktif olarak sömürülen sıfır günlük bir güvenlik açığının, herkesin standartlarına göre ‘önemli’ olduğu varsayılabilir” diyor.
CVE-2022-22675
AppleAVD medya dosyası kod çözücüsünde bir sınır dışı yazma sorunundan kaynaklanır. Desteklenen birden çok iOS, macOS ve iPadOS sürümünü etkiler ve saldırganlara çekirdek düzeyinde kötü amaçlı kod yürütmesi için bir yol sunar. Diğer kusur – CVE-2022-22674 — bir Intel Grafik Sürücüsü bileşenindeki sınırların dışında okuma sorununa bağlıdır ve çekirdek belleği içeriğinin saldırganlara ifşa edilmesine neden olabilir. Bu kusur yalnızca macOS sürümlerinde bulunur.
Long, Intego’nun Apple’ın macOS Monterey kusuru için yayınladığı yamayı tersine mühendislik yaparak Big Sur’un CVE-2022-22675’e karşı savunmasız olduğunu doğrulayabildiğini söylüyor.
“Catalina, etkilenen bileşene sahip olmadığı için CVE-2022-22675’ten etkilenmiyor” diyor. Intego, CVE-2022-22674 yamasını henüz tersine çevirmedi, bu nedenle şirket, güvenlik açığının Big Sur ve Catalina’da mevcut olup olmadığını doğrulayamadı.
Ancak, güvenlik açığının bu iki işletim sistemini de etkilemesi çok muhtemeldir. Bunun nedeni, son yıllarda Intel Grafik Sürücüsü bileşenindeki neredeyse her bir güvenlik açığının tüm macOS sürümlerini etkilemiş olmasıdır. Long’a göre, mevcut güvenlik açığının farklı olduğuna inanmak için hiçbir neden yok.
Intego, Big Sur ve Catalina’da Apple’ın yıllardır ele almadığı düzinelerce başka güvenlik açığı olduğunu söyledi.
Apple, diğer birçok büyük yazılım satıcısı gibi, geçmişte yama uygulamaları ve kritik güvenlik sorunları hakkında ayrıntılı bilgi paylaşma konusundaki isteksizliği nedeniyle eleştirilerden payını aldı. Geçen Kasım, güvenlik sağlayıcısı kötü amaçlı yazılım baytları şirketi Catalina’daki ciddi bir güvenlik açığını gidermek için yedi ay sürdüğü için kusurdan aylarca yararlanılmasına rağmen eleştirdi. Malwarebytes, olayı, işletim sistemlerinin ve yazılımlarının en son sürümleri dışında herhangi bir şeyi düzeltme konusunda Apple’ın güvenilmezliğinin bir örneği olarak nitelendirdi.