Apple, bu ayın başlarında daha yeni cihazlarda yamaladığı, aktif olarak yararlanılan bir sıfırıncı gün güvenlik açığını düzeltmek için sessizce iOS’ta daha fazla güncelleme yayınladı. WebKit’te bulunan güvenlik açığı, saldırganların bir kullanıcının cihazında uzaktan kod yürütülmesine (RCE) izin veren kötü amaçlı Web içeriği oluşturmasına izin verebilir.
Bir güncelleme Çarşamba günü yayınlanan iOS 12.5.6, şu modeller için geçerlidir: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 ve iPod touch 6. nesil.
Söz konusu kusur (CVE-2022-32893) Apple tarafından WebKit’te sınırların dışında yazma sorunu olarak tanımlanmaktadır. İyileştirilmiş sınır denetimiyle yamada bu soruna değinildi. Apple, hatanın aktif olarak istismar edildiğini kabul etti ve etkilenen cihazların kullanıcılarını derhal güncellemeye çağırıyor.
Apple, Ağustos ayının başlarında iOS 15.6.1’de CVE-2022-32894 olarak izlenen bir çekirdek kusurunun yanı sıra bazı cihazlar için güvenlik açığını zaten düzeltmişti. bu bir güncelleme iPhone 6S ve sonraki modellerini, iPad Pro (tüm modeller), iPad Air 2 ve sonraki modellerini, iPad 5. nesil ve sonraki modellerini, iPad mini 4 ve sonraki modellerini ve iPod touch’ı (7. nesil) kapsıyordu.
Güvenlik evangelisti Paul Ducklin, en son yama turunun, iOS’un eski sürümlerini çalıştıran iPhone’lar için koruma ekleyerek tüm temellerini kapsayan Apple gibi görünüyor.
“Apple’ın en azından bazı yüksek profilli (veya yüksek riskli veya her iki) eski telefon kullanıcılarıyla bu şekilde güvenliği ihlal edilmiş ve özel bir önlem olarak herkes için korumayı zorlamaya karar vermiş olması gerektiğini tahmin ediyoruz. ” o yazdı bir gönderide Sophos Çıplak Güvenlik blogunda.
Ducklin, Apple’ın iOS’un her iki sürümünde de hatayı düzeltmeye yönelik ikili kapsamının, platformun hangi sürümlerinin hangi iPhone’larda çalıştığındaki değişiklikten kaynaklandığını açıkladı.
Apple, iOS 13.1 ve iPadOS 13.1’i piyasaya sürmeden önce, iPhone’lar ve iPad’lerin her iki cihaz için de iOS olarak adlandırılan aynı işletim sistemini kullandığını söyledi. Artık iOS 12.x, iPhone 6 ve önceki aygıtları kapsarken, iOS 13.1 ve sonraki sürümleri iPhone 6’larda ve sonrasında piyasaya sürülen aygıtlarda çalışır.
Apple’ın bu ayın başlarında yamaladığı diğer sıfır gün kusuru CVE-2022-32894, tüm cihazın ele geçirilmesine izin verebilecek bir çekirdek güvenlik açığıydı. Ancak iOS 13 bu kusurdan etkilenmiş ve dolayısıyla önceki güncellemede bunun için bir yama almış olsa da, iOS 12’yi etkilemiyor, diyor Ducklin, eski sürümlerde “işletim sisteminin tamamen tehlikeye girme riskini neredeyse kesinlikle önlüyor”. cihazlar dedi.
WebKit: Geniş Bir Siber Saldırı Yüzeyi
WebKit, Safari’ye ve iOS üzerinde çalışan diğer tüm üçüncü taraf tarayıcılara güç sağlayan tarayıcı motorudur. Bir tehdit aktörü, CVE-2022-32893’ten yararlanarak bir web sitesine kötü amaçlı içerik oluşturabilir. Ardından, birisi etkilenen bir iPhone’dan siteyi ziyaret ederse, oyuncu kendi cihazında uzaktan kötü amaçlı yazılım çalıştırabilir.
WebKit, iPhone’ların ve diğer Apple cihazlarının ötesine, onu kullanan diğer tarayıcılara (Firefox, Edge ve Chrome dahil) yayıldığı ve potansiyel olarak milyonlarca kullanıcıyı riske attığı için, kullanıcıları güvenlik açıklarına maruz bırakmak söz konusu olduğunda Apple’ın tarafında genel olarak kalıcı bir sorun olmuştur. belirli bir hatadan.
Ducklin, “WebKit hatalarının Safari’nin altındaki yazılım katmanında var olduğunu unutmayın, böylece Apple’ın kendi Safari tarayıcısı bu güvenlik açığından etkilenen tek uygulama değil,” dedi.
Ayrıca, yardım sayfalarında olduğu gibi, genel tarama dışındaki amaçlar için iOS’ta Web içeriğini görüntüleyen herhangi bir uygulama, “Hakkında” ekran, hatta yerleşik bir “mini tarayıcıda” – kaputun altında WebKit kullanıyor, diye ekledi.
“Başka bir deyişle, yalnızca ‘Safari’den kaçınmak’ ve üçüncü taraf bir tarayıcıya bağlı kalmak uygun bir geçici çözüm değil [for WebKit bugs]”Ducklin yazdı.
Apple Saldırı Altında
Uzmanlar, hem kullanıcılar hem de profesyoneller geleneksel olarak Apple’ın Mac ve iOS platformlarını Microsoft Windows’tan daha güvenli olarak görse de – ve bu genellikle birkaç nedenden dolayı doğruydu – uzmanlara göre gidişat dönmeye başlıyor.
Gerçekten de, işletim sisteminin kendisini değil, daha yaygın Web teknolojilerini hedeflemeye daha fazla ilgi gösteren ortaya çıkan bir tehdit ortamı, Apple’ın arkasındaki hedefi genişletti. tehdit raporu Ocak ayında piyasaya sürüldü ve şirketin savunma yama stratejisi bunu yansıtıyor.
Apple, bu yıl en az dört sıfır gün kusurunu yamaladı, önceki iOS ve macOS güvenlik açıkları için iki yama Ocak’ta ve biri Şubat’ta gelecek – ikincisi WebKit’te aktif olarak yararlanılan başka bir sorunu düzeltti.
Ayrıca, geçen yıl Google’ın Sıfır Projesi’nden araştırmacıların 57 sıfır gün tehdidinden 12’si izlenen macOS, iOS, iPadOS ve WebKit’i etkileyen sorunlarla Apple ile ilgiliydi (yani %20’den fazla).
