Apple Cuma günü güvenlik güncellemeleri yayınladı iOS, iPadOS, Mac os işletim sistemiVe Safari web tarayıcısı vahşi ortamda istismar edilen bir çift sıfır gün kusurunu ele almak için.
İki güvenlik açığı aşağıdaki gibidir –
- CVE-2023-28205 – A ücretsiz yayından sonra kullanın WebKit’te, özel hazırlanmış web içeriğini işlerken rastgele kod yürütülmesine yol açabilecek.
- CVE-2023-28206 – Bir sınırların dışında yazma sorunu IOSurfaceAccelerator’da, bir uygulamanın çekirdek ayrıcalıklarıyla rasgele kod yürütmesini sağlayabilecek.
Apple, CVE-2023-28205’i geliştirilmiş bellek yönetimiyle ve ikincisini daha iyi giriş doğrulamasıyla ele aldığını söyledi ve hataların “aktif olarak kullanılmış olabileceğinin” farkında olduğunu ekledi.
Google’ın Tehdit Analizi Grubu’ndan (TAG) Clément Lecigne ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’ndan Donncha Ó Cearbhaill, kusurları keşfetme ve bildirme konusunda itibar sahibidir.
İki güvenlik açığıyla ilgili ayrıntılar, aktif istismar ışığında ve daha fazla tehdit aktörünün bunları kötüye kullanmasını önlemek için saklandı.
Güncellemeler iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 ve Safari 16.4.1 sürümlerinde mevcuttur. Düzeltmeler aynı zamanda geniş bir cihaz yelpazesini de kapsıyor –
- iPhone 8 ve sonrası, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası
- macOS Big Sur, Monterey ve Ventura çalıştıran Mac’ler
Apple, yılın başından bu yana üç sıfır gün yaması yaptı. Şubat ayında Apple, WebKit’te rastgele kod yürütülmesine neden olabilecek, aktif olarak istismar edilen başka bir sıfır günü (CVE-2023-23529) ele aldı.
Gelişme aynı zamanda Google TAG’ın ticari casus yazılım satıcılarının mobil cihazlara gözetleme amaçlı kötü amaçlı yazılım bulaştırmak için Android ve iOS’ta sıfır günden yararlandığını ifşa etmesiyle birlikte geldi.