Apple nihayet şirketin iOS ve iPadOS 17.4.1 için geçen hafta sessizce gerçekleştirdiği gizemli güncellemeler hakkında daha fazla ayrıntı yayınladı.
Görünen o ki, güncellemeler bir yeni güvenlik açığı ilgili işletim sistemlerinde uzaktaki bir saldırganın etkilenen iPhone ve iPad’lerde rastgele kod yürütmesine olanak tanıyan bir yazılımdır.
Güvenlik açığı bulunan kitaplıktan etkilenen Apple iOS ve iPadOS ürünleri arasında iPhone XS ve sonraki sürümleri, iPad Pro 12,9 inç ikinci nesil ve sonraki sürümleri, iPad Pro 11 inç birinci nesil ve sonraki sürümleri, iPad Air üçüncü nesil ve sonraki sürümleri ve iPad mini beşinci nesil ve sonraki sürümleri bulunmaktadır. . Bu cihazların kullanıcıları, şu şekilde tanımlanan güvenlik açığından kaynaklanan riski azaltabilir: CVE-2024-1580 yeni iOS ve iPadOS güncellemelerini yükleyerek.
Apple’ın Sınır Dışı Yazma Sorunu
CVE-2024-1580, çok çeşitli cihaz ve platformlarda AV1 videosunun kodunu çözmek için açık kaynaklı bir kitaplık olan dav1d AV1’deki sınır dışı yazma sorunundan kaynaklanıyor. Güvenlik açığından etkilenen iki Apple iOS ve iPadOS bileşeni, multimedya verilerinin çeşitli Apple platformlarında işlenmesine yönelik Core Media çerçevesi ve şirketin mobil uygulamalardaki canlı ses ve video akışlarını desteklemeye yönelik WebRTC uygulamasıdır.
Apple, iOS ve iPadOS’i güncellemenin yanı sıra bu hafta diğer ürünlerde de CVE-2024-1580’i ele alan güncellemeler yayınladı. Safari Web tarayıcısıMac os işletim sistemi Sonoma Ve ventura, ve Onun vizyon işletim sistemi Şirketin yeni Vision Pro kulaklığı için yazılım. Apple’ın güncellemeleri, şirketin iOS 17.4’ü piyasaya sürmesinden birkaç hafta sonra geldi
Apple, güvenlik açığını bulup şirkete bildirdiği için Google’ın Project Zero hata arama ekibindeki bir araştırmacıya itibar etti.
Potansiyel Olarak Tehlikeli Kusur mu?
Güvenlik araştırmacısı Paul Ducklin, Apple’ın Geçen hafta kusurun ayrıntılarını yayınlamakta tereddüt Şirketin muhtemelen kusuru tehlikeli olarak değerlendirdiğinin bir işareti olarak.
“Geçen hafta ilk düzeltmeler çıktığında Apple’ın kasıtlı sessizliğinden, CVE-2024-1580 hatasının diğer platformlara, özellikle de macOS’a yönelik yamalar yayınlanmadan önce belgelenmesinin tehlikeli kabul edildiğini tahmin ediyoruz.” bir blog yazısında şunu yazdı.
Ducklin, ayrıca şirketin 26 Mart’ta CVE-2024-1580 hakkında yayınladığı temel bilgilerin bile tehdit aktörlerine ve araştırmacılara güncellemede tersine mühendislik yapmak ve çalışan bir istismar geliştirmek için yeterli bilgi sağladığını düşündüğünü öne sürüyor. Etkilenen cihazları kullanan kullanıcılara ve kuruluşlara iOS, iPadOS, macOS ve diğer etkilenen yazılımların en yeni sürümlerine hemen güncelleme yapmalarını tavsiye etti.
Google, hatayı yüksek saldırı karmaşıklığına sahip orta önemde bir sorun olarak değerlendirdi ve bir saldırganın hatadan yararlanmak için yalnızca düşük düzeyde ayrıcalıklara ihtiyaç duyacağını, ancak başarılı olmak için yerel ağa erişmesi veya fiziksel olarak savunmasız bir sistemin yakınında olması gerektiğini belirtti.
Üç Apple Sıfır Gün Hatası… Şimdiye Kadar
2024’te şu ana kadar Google’ın Project Zero e-tablosuna dahil ettiği dört sıfır gün hatasından üçü Apple ile ilgili. Üç hata şunları içerir: CVE-2024-23222Safari için WebKit tarayıcı motorunda bir uzaktan kod yürütme hatası ve CVE-2024-23225 ve CVE-2024-23296Saldırganların, Apple’ın düzeltmesini yapmadan önce iPhone kullanıcılarına yönelik saldırılarda aktif olarak yararlandığı iOS’taki iki çekirdek güvenlik açığı.
Google, kusurun kullanılabilirliği veya Project Zero araştırmacılarının açıktaki kusuru hedef alan herhangi bir istismar faaliyeti gözlemleyip gözlemlemediğine ilişkin daha fazla bilgi isteyen Dark Reading talebine hemen yanıt vermedi.
Google’ın 2024 için Project Zero e-tablosunda yer alan dördüncü sıfır gün: CVE-2024-0519Apple’ın WebKit Safari’nin sıfır gününü açıklamasından günler önce şirketin Chrome’da aktif olarak saldırıya uğrayan bir bellek bozulması hatası.