ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Çarşamba günü katma iOS, iPadOS, macOS, tvOS ve watchOS’u etkileyen, Bilinen İstismar Edilen Güvenlik Açıklarına yönelik yüksek önem derecesine sahip bir kusur (KEV) aktif istismar kanıtlarına dayanan katalog.
Şu şekilde izlenen güvenlik açığı: CVE-2022-48618 (CVSS puanı: 7,8), çekirdek bileşenindeki bir hatayla ilgilidir.
Apple bir danışma belgesinde “Rastgele okuma ve yazma yeteneğine sahip bir saldırgan İşaretçi Kimlik Doğrulamasını atlayabilir” dedi ve sorunun “iOS 15.7.1’den önce yayımlanan iOS sürümlerine karşı istismar edilmiş olabileceğini” ekledi.
iPhone üreticisi, sorunun iyileştirilmiş kontrollerle çözüldüğünü söyledi. Bu güvenlik açığının gerçek dünyadaki saldırılarda nasıl silah haline getirildiği şu anda bilinmiyor.
İlginçtir ki kusura yönelik yamalar 13 Aralık 2022’de yayınlandı. iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2Ve watchOS 9.2ancak bir yıldan uzun bir süre sonra 9 Ocak 2024’te kamuya açıklandı.
Apple’ın çekirdekteki benzer bir kusuru çözdüğünü belirtmekte fayda var (CVE-2022-32844CVSS puanı: 6,3), 20 Temmuz 2022’de gönderilen iOS 15.6 ve iPadOS 15.6’da.
Şirket o dönemde “Rastgele çekirdek okuma ve yazma özelliğine sahip bir uygulama İşaretçi Kimlik Doğrulamasını atlayabilir” dedi. “Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.”
CVE-2022-48618’in aktif kullanımı ışığında CISA, Federal Sivil Yürütme Organı (FCEB) kurumlarının düzeltmeleri 21 Şubat 2024’e kadar uygulamasını tavsiye ediyor.
Bu gelişme aynı zamanda Apple’ın WebKit tarayıcı motorunda aktif olarak yararlanılan bir güvenlik açığına yönelik yamaları genişletmesiyle de ortaya çıkıyor (CVE-2024-23222, CVSS puanı: 8,8) Apple Vision Pro kulaklığını da içerecek şekilde. Düzeltme şu adreste mevcuttur: vizyon OS 1.0.2.
