Apple, iOS, iPadOS, macOS, watchOS ve Safari’yi etkileyen aktif olarak istismar edilen üç sıfır gün kusurunu gidermek için yeni bir güvenlik yaması turu yayınladı ve bu yıl yazılımında keşfedilen sıfır gün hatalarının toplam sayısını 16’ya çıkardı.
Güvenlik açıklarının listesi aşağıdaki gibidir:
- CVE-2023-41991 – Güvenlik çerçevesinde, kötü amaçlı bir uygulamanın imza doğrulamasını atlamasına izin verebilecek bir sertifika doğrulama sorunu.
- CVE-2023-41992 – Çekirdekte yerel bir saldırganın ayrıcalıklarını yükseltmesine olanak verebilecek bir güvenlik açığı.
- CVE-2023-41993 – Özel hazırlanmış web içeriğini işlerken rastgele kod yürütülmesine neden olabilecek bir WebKit kusuru.
Apple, “sorunun iOS 16.7’den önceki iOS sürümlerinde aktif olarak kullanılmış olabileceği” yönündeki bir beyan dışında ek ayrıntılar sunmadı.
Güncellemeler aşağıdaki cihazlar ve işletim sistemleri için mevcuttur:
- iOS 16.7 ve iPadOS 16.7 – iPhone 8 ve üzeri, iPad Pro (tüm modeller), iPad Air 3. nesil ve üzeri, iPad 5. nesil ve üzeri ve iPad mini 5. nesil ve üzeri
- iOS 17.0.1 ve iPadOS 17.0.1 – iPhone XS ve üzeri, iPad Pro 12,9 inç 2. nesil ve üzeri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve üzeri, iPad Air 3. nesil ve üzeri, iPad 6. nesil ve üzeri, iPad mini 5. nesil ve üzeri Daha sonra
- macOS Monterey 12.7 Ve macOS Ventura 13.6
- watchOS 9.6.3 Ve watchOS 10.0.1 – Apple Watch Series 4 ve sonraki modeller
- Safari 16.6.1 – macOS Big Sur ve macOS Monterey
Eksiklikleri keşfeden ve bildiren Toronto Üniversitesi Munk Okulu Vatandaş Laboratuvarı’ndan Bill Marczak ve Google Tehdit Analiz Grubu’ndan (TAG) Maddie Stone, bu eksikliklerin sivil amaçlı yüksek hedefli casus yazılımların bir parçası olarak kötüye kullanılmış olabileceğini belirtiyor. Siber tehditlere karşı yüksek risk altında olan toplum üyeleri.
Açıklama, Apple’ın, bilinen bir paralı asker casus yazılımını dağıtmak üzere BLASTPASS adlı sıfır tıklamalı iMessage istismar zincirinin bir parçası olarak zincirlenen aktif olarak istismar edilen diğer iki sıfır günü (CVE-2023-41061 ve CVE-2023-41064) çözmesinden iki hafta sonra geldi. Pegasus olarak.
Bunu, özel hazırlanmış bir görseli işlerken rastgele kod yürütülmesine neden olabilecek bir güvenlik kusurunu (CVE-2023-4863) içeren Google ve Mozilla gönderim düzeltmeleri izledi.
Yapay Zeka ve Yapay Zeka: Yapay Zeka Destekli Risklere Karşı Yapay Zeka Savunmalarından Yararlanma
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Hem Apple’ın Görüntü G/Ç görüntü ayrıştırma çerçevesindeki bir arabellek taşması güvenlik açığı olan CVE-2023-41064’ün hem de WebP görüntü kitaplığındaki (libwebp) bir yığın arabellek taşması olan CVE-2023-4863’ün, Isosceles’in kurucusu ve eski Google Project Zero araştırmacısı Ben Hawkes’a göre aynı hata.
Rezilion, bir analiz Perşembe günü yayınlanan bir raporda, libwebp kitaplığının çeşitli işletim sistemlerinde, yazılım paketlerinde, Linux uygulamalarında ve konteyner görüntülerinde kullanıldığı ortaya çıktı ve güvenlik açığının kapsamının başlangıçta varsayıldığından çok daha geniş olduğunun altı çizildi.
Hawkes, “İyi haber şu ki, hata libwebp’in yukarı akışında doğru bir şekilde yamalı görünüyor ve bu yama gitmesi gereken her yere gidiyor.” söz konusu. “Kötü haber şu ki libwebp birçok yerde kullanılıyor ve yamanın doyuma ulaşması biraz zaman alabilir.”