Apple’ın güvenlik mühendisleri, iOS ve MacOS güvenlik teknolojilerinin arkasındaki teknik ayrıntıları paylaşmak için Apple’ın başlattığı yeni bir web sitesinde, Apple’ın bellek ayırıcıyı güçlendirmeye yönelik çalışmasının, saldırganların iOS ve Mac cihazlarda belirli yazılım güvenlik açıklarından yararlanmalarını zorlaştırdığını yazdı.
Yeni girişim, Apple Güvenlik Araştırmasıayrıca güvenlik araştırmacılarının sorunları Apple’a bildirmesine, gönderilen raporlar için gerçek zamanlı durum güncellemeleri almasına, sorunu araştıran Apple mühendisleriyle güvenli bir şekilde iletişim kurmasına yardımcı olacak araçlar sunar ve Apple Güvenlik Ödül programı. Yeni güvenlik merkezinin arkasındaki amaç, Apple mühendislerinin güvenlik sorunlarına nasıl yaklaştıklarını araştırma topluluğuyla paylaşmak ve ayrıca araştırmacı katkılarını ve geri bildirimlerini davet etmektir.
Bellek güvenliği, özellikle bellek güvenliği ihlalleri, en yaygın olarak yararlanılan yazılım güvenlik açıkları sınıfı. Mühendisler, Apple platformlarında, “güvenlik açıklarını bulmayı ve düzeltmeyi, güvenli dillerle geliştirmeyi ve azaltıcı önlemleri geniş ölçekte dağıtmayı” içerir. XNU bellek güvenliği.
XNU, iPhone’ların, iPad’lerin ve Mac’lerin merkezindeki çekirdektir.
Araştırmacılar, iPhone, iPad ve Mac’te çalışan kodun çoğu, “bellek güvenli olmayan” programlama dilleri kullanılarak yazılmıştır; bu, bellek güvenliği ihlallerini engellemedikleri ve geliştiricilerin kod yazarken istemeden ve bilmeden bellek güvenliği kurallarını ihlal edebileceği anlamına gelir. yazdı. Bu sorunlar, saldırganlar tarafından yazılımı çökertmek, yetkisiz komutlar yürütmek ve hassas bilgileri toplamak için kullanılabilir.
Mühendisler, “bellek güvenliğini artırmak, endüstrideki mühendislik ekipleri için önemli bir hedeftir” diye yazdılar.
Apple, güçlendirilmiş bellek ayırıcının temelini attı kalloc_type tanıtıldığında iOS 14’e geri döndü kheaps, veri bölme ve sanal bellek ayırma. Apple, tanıtıldığında bölge ayırıcıya rastgele kovalı tip izolasyon ekledi kalloc_type iOS 15’te. iOS 16 ve macOS Ventura’nın piyasaya sürülmesiyle, sertleştirilmiş ayırıcı artık XNU çekirdeğini kullanan tüm sistemlerde kullanılabilir.
Araştırmacılar, “Temel stratejimiz, çoğu bellek bozulması güvenlik açıklarından yararlanmayı doğası gereği güvenilmez kılan bir ayırıcı tasarlamaktır” diye yazdı. “Bu, birçok bellek güvenlik hatasının etkisini biz daha onlar hakkında bilgi edinmeden önce sınırlandırıyor ve bu da tüm kullanıcılar için güvenliği artırıyor.”
Apple’ın ödül programı güncellemesinde şirket, programın başlatılmasından bu yana son iki buçuk yılda güvenlik araştırmacılarına 20 milyon dolara yakın ödül verdiğini söyledi. Ürün kategorisinde ortalama ödemeler yaklaşık 40.000 dolar iken, şirket yüksek etkili konular için 100.000 doların üzerinde 20 ayrı ödül ödedi. Ödül toplamak için araştırmacıların karşılaması gereken değerlendirme kriterleri Apple Security Research’te mevcuttur.
