Apple Güvenlik Güncellemeleri ile Eski Cihazları Koruyor
Apple, geçen ay yaptığı güvenlik güncellemeleri ile birlikte, eski iPhone ve iPad modellerine de yeni yamalar sunarak, “son derece karmaşık” saldırılarda kullanılan bir sıfır-gün açığını kapatmıştır. Bu güncellemeler, iOS 18.6.2 ve iPadOS 18.6.2 sürümlerine yapılan yamaların geriye dönük bir versiyonudur.
CVE-2025-43300 Açığı
Bu güvenlik açığı, Apple güvenlik araştırmacıları tarafından keşfedilmiştir ve Image I/O framework’undaki bir out-of-bounds write zafiyetinden kaynaklanmaktadır. Bu zafiyet, uygulamaların resim dosyası formatlarını okuma ve yazma işlemlerine olanak tanır. Kısacası, saldırganlar kötü niyetli bir şekilde tasarlanmış giriş verileri sağlayarak, yazılımın ayrılan bellek bölümünün dışına yazma yapmasına neden olabilir. Sonuç olarak, bu durum programda çökme, veri bozulması veya uzaktan kod yürütülmesine yol açabilir.
Apple, bu sıfır-gün açığını iOS 15.8.5 ve iPadOS 15.8.5 için de düzeltmiş ve daha iyi sınır kontrolü sağlamıştır. Şirketin açıklamasına göre, “Kötü niyetli bir resim dosyasının işlenmesi, bellek bozulması ile sonuçlanabilir. Geliştirilmiş sınır kontrolleri ile bir out-of-bounds write sorunu ele alındı.”
Hedef Alınan Cihazlar
Bu zafiyetten etkilenen cihazlar listesi oldukça uzundur. Bug, birçok eski modeli etkilemektedir. Etkilenen cihazlar arasında şunlar bulunmaktadır:
- iPhone 6s (tüm modeller)
- iPhone 7 (tüm modeller)
- iPhone SE (1. nesil)
- iPhone 8
- iPhone 8 Plus
- iPhone X
Ayrıca, iPad modelleri de bu zafiyetten etkilenmektedir:
- iPad Air 2
- iPad mini (4. nesil)
- iPad 5. nesil
- iPad Pro 9.7 inç
- iPad Pro 12.9 inç (1. nesil)
- iPod touch (7. nesil)
İleri Düzey Saldırılar
Ağustos ayının sonlarında, WhatsApp, iOS ve macOS mesajlaşma istemcilerindeki bir zero-click zafiyetini (CVE-2025-55177) kapatmıştır. Bu açık, hedefli saldırılarda Apple’ın CVE-2025-43300 zafiyeti ile bağlantılı olarak kullanılmıştır. Çok gelişmiş bir şekilde gerçekleştirilen bu saldırılara dair henüz detaylar açıklanmamıştır. Ancak, Amnesty International Güvenlik Laboratuvarı yöneticisi Donncha Ó Cearbhaill, WhatsApp’ın bazı kullanıcılarını gelişmiş bir casus yazılım kampanyasına hedef gösterdiği konusunda uyardığını bildirmiştir.
Samsung ve Diğer Zafiyetler
Geçtiğimiz hafta Samsung, kendi Android cihazlarını hedef alan CVE-2025-55177 zafiyeti ile bağlantılı bir uzaktan kod yürütme açığını kapatmıştır. Bu zafiyet, sıfır-gün saldırılarında kötü niyetli kişiler tarafından kullanılmaya çalışılmıştır.
Apple, 2025 yılı içinde yapılan güncellemelerle birlikte altı farklı sıfır-gün açığını kapatma fırsatı bulmuştur. Bu zafiyetlerden ilki Ocak ayında (CVE-2025-24085) ortaya çıkmışken, diğeri Şubat, Mart ve Nisan aylarında (CVE-2025-24200, CVE-2025-24201, CVE-2025-31200 ve CVE-2025-31201) keşfedilmiştir.
Kullanıcıların Korunması için Öneriler
Kullanıcıların, bu tür zafiyetlere karşı korunmaları için alabilecekleri bazı önlemler bulunmaktadır. Öncelikle, güvenlik güncellemelerini düzenli olarak kontrol edip yüklemek önemlidir. Ayrıca, bilinmeyen kaynaklardan gelen uygulamaları indirmekten kaçınmak, cihazların güvenliği açısından kritik bir öneme sahiptir.
Kullanıcıların ayrıca, güçlü şifreler kullanmaları ve iki faktörlü kimlik doğrulama gibi ek güvenlik önlemlerini uygulamaları önerilmektedir. Aksi takdirde, bu tür güvenlik açıkları, bireysel verilerin kötü niyetli kullanımına neden olabilmektedir.
Sonuç
Apple ve diğer teknoloji firmaları, kullanıcılarını korumak adına sürekli olarak güncellemeler yapmaktadır. Ancak, kullanıcıların da bu konudaki farkındalığı artırması ve güvenlik önlemlerini alması kaçınılmazdır. Geçmişte yaşanan zafiyetlerden ders alarak, gelecekte daha güvenli bir dijital yaşam sağlamak mümkün olacaktır.
