Apple, geçen ay yayınlanan Backport yamalarına güvenlik güncellemeleri yayınladı ve eski iPhone'lar ve iPad'ler için aktif olarak sömürülen sıfır gün hatasına hitap etti.
Güvenlik açığı (CVE-2023-23529), şirketin 13 Şubat 2023'te yeni iPhone ve iPad cihazlarına sabitlediği bir Webkit türü karışıklık sorunudur.
Potansiyel saldırganlar, OS çökmelerini tetiklemek ve başarılı bir sömürü takiben tehlikeye atılmış iOS ve iPados cihazlarında kod yürütme kazanmak için kullanabilirler.
Tehdit aktörleri daha sonra kurbanları kötü niyetli web sayfaları açmaya kandırdıktan sonra hedeflenen iPhone'lar ve iPad'lerde keyfi kod uygulayabilir (bu hata MacOS Big Sur ve Monterey'de Safari 16.3.1'i de etkiler).
"Kötü niyetli bir şekilde hazırlanmış web içeriğinin işlenmesi keyfi kod yürütülmesine yol açabilir. Apple, bu sorunun aktif olarak sömürülmüş olabileceğine dair bir raporun farkındadır." "Apple, bu sorunun aktif olarak sömürülmüş olabileceğine dair bir raporun farkında."
Apple ayrıca IOS 15.7.4 ve iPados 15.7.4'teki Sıfır Gününü bugün geliştirilmiş kontrollerle ele aldı.
Etkilenen cihazların listesi iPhone 6S (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad Mini (4. Nesil) ve iPod Touch (7. Nesil) cihazlarını içerir.
Apple, bu kırılganlığın saldırılarda kullanıldığına dair raporların farkında olduğunu söylese de, şirket henüz bu olaylarla ilgili bilgi yayınlamamıştır.
Bununla birlikte, bu, vahşi doğada sömürülen sıfır günler için güvenlik yamalarını ifşa ederken Apple için standart prosedürdür.
Teknik detaylara erişimin kısıtlanması, cihazlarını güvence altına almak için mümkün olduğunca çok kullanıcıya izin verir ve saldırganların savunmasız cihazları hedefleyen ek istismarlar geliştirme ve dağıtma çabalarını yavaşlatır.
CVE-2023-23529 Zero Day muhtemelen sadece hedeflenen saldırılarda kullanılırken, eski yazılımları çalıştıran iPhone ve IPad cihazlarının kullanıcılarını hedefleyen potansiyel saldırı denemelerini engellemek için bugünün güvenlik güncellemelerini mümkün olan en kısa sürede yüklemeniz çok tavsiye edilir.
Ocak ayında Apple ayrıca, eski iPhone'lara ve iPad'lere uzaktan sömürülebilir bir sıfır gün kusuru (Google'ın tehdit analiz grubundan Clément Lecigne tarafından bildirildi) için yamaları da geri döndürdü.
Apple, iPhone'ları, Mac'leri hacklemek için yeni Webkit Zero-Day'i düzeltiyor
Cisa, sıfır gün olarak sömürülen pencereler ve iOS hataları konusunda uyarıyor
Bilgisayar korsanları çoğunlukla 2022'de Microsoft, Google, Apple Zero-Days'i hedef aldı
Microsoft Phone bağlantısı artık iPhone'unuzu Windows 11 ile senkronize edebilir
Bilgisayar korsanları Pwn2own Vancouver'da sömürülen 27 sıfır gün için 1.035.000 dolar kazanıyor
Kaynak: Bleeping Computer