Apple, tehdit aktörlerinin savunmasız cihazlarda rasgele kod çalıştırmasına, potansiyel olarak hassas içerikleri çalmasına ve hatta tüm cihazı ele geçirmesine izin veren iki yüksek önem dereceli güvenlik açığını düzeltti.
CVE-2023-23514 olarak izlenen ilk sorun, bilgisayar korsanlarının çekirdek ayrıcalıklarıyla rasgele kod yürütmesine olanak tanıyan, iPhone 8 ve sonraki modelleri, tüm iPad Pro modellerini, iPad Air 3. nesil ve daha yenisini, iPad 5. nesli etkileyen bir Free After Free Sorunudur. ve üstü ve iPad mini 5. nesil ve üstü cihazlar.
Kusur, Pangu Lab’den Xinru Chi ve Google Project Zero’dan Ned Williamson tarafından keşfedildi ve bildirildiğine göre daha iyi bellek yönetimi ile düzeltildi.
İşletim sistemini güncelleme
CVE-2023-23529 olarak izlenen ikinci kusur, Apple’ın Safari teklifinde kullanılan tarayıcı motoru WebKit’te bulundu.
Bu, kötü amaçlı olarak işlendiği için iyileştirilmiş kontrollerle düzeltilen bir tür karışıklığı sorunuydu. (yeni sekmede açılır) Apple, hazırlanmış web içeriği, cihazın üçüncü taraflarca keyfi kod yürütülmesine izin verebileceğini açıkladı.
Apple’ın kimliği belirsiz bir araştırmacı tarafından keşfedildiğini söylediği kusur, iPhone 8 ve sonraki modelleri, tüm iPad Pro modellerini, iPad Air 3. nesil ve sonraki modelleri, iPad 5. nesil ve sonraki sürümleri ve iPad mini 5. nesil ve sonraki cihazları etkiledi.
Apple, her iki kusurun da aktif olarak kullanıldığını doğruladı; bu, bilgisayar korsanlarının sorunların farkında olduğu ve bunları cihazlara erişmek ve değerli içerikleri çalmak için kullandıkları anlamına geliyor.
Bu nedenle, kullanıcıların düzeltmeleri mümkün olan en kısa sürede uygulamaları ve iOS 16.3.1 ve iPadOS 16.3.1’e yükseltmeleri çok önemlidir.
Apple’ın tarayıcı motoru WebKit, potansiyel olarak cihazın geri kalan verilerine erişime izin verdiği için Apple cihazlarını ihlal etmek isteyen bilgisayar korsanları için popüler bir saldırı vektörüdür.
TechCrunch’ın bildirdiğine göre Apple, 2022’de dördü WebKit’te bulunan “aktif olarak kullanılmış olabilecek” dokuz iOS hatasını yamaladı. Diğerlerinden üçü çekirdekte, biri AppleAVD’de ve biri IOMobileFrameBuffer’da bulundu.
Aracılığıyla: TechCrunch (yeni sekmede açılır)
