Apple’ın sahip olduğu piyasaya sürülmüş iOS, iPadOS, macOS ve Safari web tarayıcısına yönelik yazılım güncellemeleri, yazılımının eski sürümlerinde yaygın olarak aktif olarak kullanıldığı söylenen iki güvenlik açığını ele alıyor.
Her ikisi de WebKit web tarayıcı motorunda bulunan güvenlik açıkları aşağıda açıklanmıştır:
- CVE-2023-42916 – Web içeriği işlenirken hassas bilgilerin sızdırılması amacıyla kullanılabilecek, sınırların dışında bir okuma sorunu.
- CVE-2023-42917 – Web içeriğini işlerken rastgele kod yürütülmesine neden olabilecek bir bellek bozulması hatası.
Apple, 10 Ekim 2023’te yayınlanan “iOS 16.7.1’den önceki iOS sürümlerine karşı” eksikliklerden yararlanan raporların farkında olduğunu söyledi. Google’ın Tehdit Analiz Grubu’ndan (TAG) Clément Lecigne, ikiz kusurları keşfetme ve raporlama konusunda itibar kazandı. .
iPhone üreticisi, devam eden istismara ilişkin ek bilgi sağlamadı ancak daha önce iOS’ta açıklanan sıfır günlerin, aktivistler, muhalifler, gazeteciler ve politikacılar gibi yüksek riskli bireyleri hedef alan paralı casus yazılımları dağıtmak için kullanıldığı açıklandı.
Google Chrome, Mozilla Firefox ve Microsoft Edge ve diğerleri de dahil olmak üzere, iOS ve iPadOS için kullanılabilen her üçüncü taraf web tarayıcısının, Apple tarafından getirilen kısıtlamalar nedeniyle WebKit oluşturma motoru tarafından desteklendiğini burada belirtmekte fayda var. kazançlı ve geniş saldırı yüzeyi.
Güncellemeler aşağıdaki cihazlar ve işletim sistemleri için mevcuttur:
- iOS 17.1.2 ve iPadOS 17.1.2 – iPhone XS ve üzeri, iPad Pro 12,9 inç 2. nesil ve üzeri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve üzeri, iPad Air 3. nesil ve üzeri, iPad 6. nesil ve üzeri ve iPad mini 5. nesil ve sonra
- macOS Sonoma 14.1.2 – macOS Sonoma çalıştıran Mac’ler
- Safari 17.1.2 – macOS Monterey ve macOS Ventura çalıştıran Mac’ler
Apple, en son güvenlik düzeltmeleriyle 2023’ün başından bu yana aktif olarak yararlanılan 19 kadar sıfır günü düzeltti. Bu aynı zamanda Google’ın Chrome’daki yüksek önem derecesine sahip bir kusur (CVE-2023-6345) için düzeltmeler göndermesinden birkaç gün sonra geldi. gerçek dünya saldırılarına maruz kalıyor ve bu da bu yıl şirket tarafından yamalanan yedinci sıfır gün oluyor.