Tüm Federal Sivil Yürütme Şube Ajanslarının (FCEB) bu yıl 12 Haziran’a kadar Apple yapımı birçok cihaza yama uygulaması yapması ve böylece çalışanlarını ve sistemlerini vahşi ortamda istismar edildiği iddia edilen güvenlik açıklarından koruması gerekiyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), FCEB kuruluşlarına uç noktalarını bilinen üç güvenlik açığına karşı korumalarını söyleyen yeni bir emir yayınladı: CVE-2023-32409, CVE-2023-28204 ve CVE-2023-32373.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sıklıkla kullanılan saldırı vektörleridir ve federal kuruluş için önemli riskler oluşturur.” bir açıklamada söyledi.
WebKit sorunları
Apple kısa bir süre önce, WebKit tarayıcı motorunda keşfedilen üç kusurun ayrıntılarını veren bir güvenlik danışma belgesi yayınladı. WebKit, iOS ve iPadOS’teki tüm web tarayıcılarında kullanılmasının yanı sıra Safari web tarayıcısının altında yatan teknoloji olmasıyla en iyi bilinen Apple’ın tarayıcı motorudur. Bu nedenle WebKit, hedef uç noktaya erişim izni vermek için kullanılabilecek güvenlik açıkları arayan tehdit aktörleri için çekici bir hedeftir.
Bunlardan biri bir sanal alandan kaçış kusuru, biri tehdit aktörlerinin hassas bilgilere hız kesmeden erişmesine izin veren sınırların dışında okuma kusuru ve biri de rastgele kod yürütmeye izin veren serbest kullanımdan sonra güvenlik açığıdır. Üçü de geliştirilmiş sınır kontrolleri, giriş doğrulama ve bellek yönetimi ile düzeltildi.
İşte etkilenen uç noktaların tam listesi:
- iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil), iPod touch (7. nesil) ve iPhone 8 ve sonrası
- iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası
- macOS Big Sur, Monterey ve Ventura çalıştıran Mac’ler
- Apple Watch Series 4 ve sonrası
- Apple TV 4K (tüm modeller) ve Apple TV HD
FCEB’ler cihazlarını güvenli hale getirmek için onları macOS Ventura 13.4, iOS ve iPadOS 16.5, tvOS 16.5, watchOS 9.5 ve Safari 16.5’e güncellemelidir.
Apple, bu kusurları kimin ne amaçla kullandığını söylemezken, BleepingBilgisayar Google’ın Tehdit Analizi Grubu ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı tarafından keşfedildikleri göz önüne alındığında, büyük ihtimalle devlet destekli tehdit aktörleri tarafından kullanılmış olduklarını söylüyor.
Aracılığıyla: BleepingBilgisayar