Apple Pazartesi günü, vahşi ortamda aktif olarak istismar edilen sıfır gün kusurunu gidermek amacıyla iOS, iPadOS, macOS, tvOS ve Safari web tarayıcısı için güvenlik güncellemeleri yayınladı.
Sorun şu şekilde izlendi: CVE-2024-23222, bir tehdit aktörünün, kötü amaçla hazırlanmış web içeriğini işlerken rastgele kod yürütme sağlamak için yararlanabileceği bir tür karışıklık hatasıdır. Teknoloji devi, iyileştirilen kontrollerle sorunun çözüldüğünü söyledi.
Tür karışıklığı güvenlik açıklarıgenel olarak, sınırların dışında bellek erişimi gerçekleştirmek için silah haline getirilebilir veya çökmeye ve rastgele kod yürütülmesine yol açabilir.
Apple, kısa bir tavsiye mesajında ”bu sorunun istismar edilmiş olabileceğine dair bir rapordan haberdar olduğunu” kabul etti ancak saldırıların doğası veya bu eksiklikten yararlanan tehdit aktörleri hakkında başka herhangi bir ayrıntı paylaşmadı.
Güncellemeler aşağıdaki cihazlar ve işletim sistemleri için mevcuttur:
- iOS 17.3 ve iPadOS 17.3 – iPhone XS ve üzeri, iPad Pro 12,9 inç 2. nesil ve üzeri, iPad Pro 10,5 inç, iPad Pro 11 inç 1. nesil ve üzeri, iPad Air 3. nesil ve üzeri, iPad 6. nesil ve üzeri ve iPad mini 5. nesil ve sonra
- iOS 16.7.5 ve iPadOS 16.7.5 – iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. nesil, iPad Pro 9,7 inç ve iPad Pro 12,9 inç 1. nesil
- macOS Sonoma 14.3 – macOS Sonoma çalıştıran Mac’ler
- macOS Ventura 13.6.4 – macOS Ventura çalıştıran Mac’ler
- macOS Monterey 12.7.3 – macOS Monterey çalıştıran Mac’ler
- tvOS 17.3 – Apple TV HD ve Apple TV 4K (tüm modeller)
- Safari 17.3 – macOS Monterey ve macOS Ventura çalıştıran Mac’ler
Bu gelişme, bu yıl Apple tarafından yamalanacak, aktif olarak yararlanılan ilk sıfır gün güvenlik açığını işaret ediyor. Geçtiğimiz yıl iPhone üreticisi, gerçek dünyadaki saldırılarda kullanılan 20 sıfır günü ele almıştı.
Ayrıca Apple, Aralık 2023’te yayımlanan CVE-2023-42916 ve CVE-2023-42917 düzeltme eklerini eski cihazlara da destekledi.
- iOS 15.8.1 ve iPadOS 15.8.1 – iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)
Açıklama aynı zamanda Çinli yetkililerin bir raporunun ardından geldi. açıklığa kavuşmuş Apple’ın AirDrop işlevindeki önceden bilinen güvenlik açıklarını, gökkuşağı tablolarını temel alan bir teknik kullanarak kolluk kuvvetlerinin uygunsuz içerik gönderenleri belirlemesine yardımcı olmak için kullandıklarını söyledi.