7 Nisan’da Apple, aktif istismar kapsamında iki sıfır gün güvenlik açığı hakkında uyarı veren iki güvenlik güncellemesi yayınladı. 10 Nisan’a kadar bunlar, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) bilinen kötüye kullanılan güvenlik açıkları (KEV) listesine eklendi.
Etkisi iki güvenlik açığı yaygınApple’a göre iPhone’ları ve iPad’leri çalıştırmak için kullanılan iOS 16.4.1 ve iPadOS 16.4.1 işletim sistemlerine ek olarak Apple Mac’ler için macOS Ventura 13.3.1’i etkiliyor.
ilk hata CVE-2023-28205Apple iOS, iPad OS, macOS ve Safari WebKit’te kod enjeksiyonuna yol açabilecek bir kusurdur. kötü amaçlı Web içeriğini işleme, CISA açıkladı. İkinci, CVE-2023-28206CISA, Apple iOS, iPadOS ve macOS IOSurfaceAccelerator’ı etkileyerek, endişe verici bir şekilde, kötü amaçlı bir uygulamanın çekirdek ayrıcalıklarıyla kod yürütmesine izin verebilir.
Apple, iOS 16 ve iPad OS 16 için güncellemeler yayınladı. Big Sur Monterey ve Ventura dahil olmak üzere diğer macOS sürümlerinde yüklenmesi gereken yamalar var ve Sophos’un ayrı bir danışma belgesinde işaret ettiği gibi, hataların devam edip etmeyeceği henüz belli değil. iOS 15 kullanıcılarını etkilemek eski cihazlarla.
Her iki sorun da tarafından bildirildi Google’ın Tehdit Analizi Grubu’ndan Clément Lecigne ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’ndan Donncha Ó Cearbhaill, siber güvenlik uzmanlarına, kusurların devlet aktörleri tarafından casus yazılım dağıtmak için kullanıldığına inanmaları için sebep veriyor.
Vulcan Cyber’in kıdemli teknik mühendisi Mike Parkin, Dark Reading’e yaptığı açıklamada, “Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’nın, sorunu bildirmeye dahil olan kuruluşlardan biri olması ilginç,” dedi. “Apple, açıklardan yararlanma hakkında fazla bir şey söylemese de, raporlara ve daha önceki geçmişe bakıldığında, açıkların devlet düzeyindeki tehdit aktörleri tarafından konuşlandırıldığı muhtemel görünüyor.”