Apple, iPhone'ları, Mac'leri ve iPad'leri tehlikeye atmak için saldırılarda kullanılmayan iki yeni sıfır günlük güvenlik açıkını ele almak için acil güvenlik güncellemeleri yayınladı.
"Apple, bu sorunun aktif olarak sömürülmüş olabileceğine dair bir raporun farkındadır." Dedi.
İlk güvenlik kusuru (CVE-2023-28206 olarak izlenir), veri, çökme veya kod yürütmesine yol açabilecek bir iOSurfaceAcceleratör dışına yazılmıştır.
Başarılı sömürü, saldırganların hedeflenen cihazlarda çekirdek ayrıcalıklarıyla keyfi kod yürütmek için kötü niyetli bir uygulama kullanmasına olanak tanır.
İkinci sıfır gün (CVE-2023-28205), serbest zayıflıktan sonra, serbest hafızayı yeniden kullanırken veri bozulmasına veya keyfi kod yürütülmesine izin veren bir webkit kullanımıdır.
Bu kusur, hedeflerin saldırganların kontrolü altındaki kötü amaçlı web sayfaları yüklenmesi ile kandırılarak kullanılabilir, bu da tehlikeye atılan sistemlerde kod yürütülmesine yol açabilir.
İki sıfır günlük güvenlik açıkları, iyileştirilmiş giriş validasyonu ve bellek yönetimi ile iOS 16.4.1, iPados 16.4.1, MacOS Ventura 13.3.1 ve Safari 16.4.1'de ele alınmıştır.
Apple, etkilenen cihazların listesinin oldukça geniş olduğunu ve şunları içerdiğini söylüyor:
Apple, Wild Susturasyon Raporlarının farkında olduğunu söylese de, şirket henüz bu saldırılarla ilgili bilgi yayınlamıyor.
Bununla birlikte, iki kusurun Google'ın Tehdit Analiz Grubu'ndan Clément Lecigne tarafından ve bir istismar zincirinin bir parçası olarak vahşi doğada sömürüldüklerini bulduktan sonra Donncha ó Cearbhaill tarafından bildirildiğini ortaya koydu.
Her iki kuruluş da düzenli olarak, hükümet destekli tehdit aktörleri tarafından istismar edilen sıfır gün hatalarından yararlanan kampanyaları, dünya çapında politikacıların, gazetecilerin, muhaliflerin ve diğer yüksek riskli kişilerin akıllı telefonlarına ve bilgisayarlarına dağıtmak için ticari casus yazılımları dağıtmak için açıklamaktadır.
Geçen hafta, Google Tag ve Afesty International, paralı casus yazılımları dağıtmak için Android, iOS ve Chrome Zero-Day ve N-Day Kusurlarının istismar zincirlerini kullanarak son iki saldırı serisini ortaya çıkardı.
Bugün yamalı sıfır günler büyük olasılıkla sadece yüksek hedefli saldırılarda kullanılırken, bu acil durum güncellemelerinin mümkün olan en kısa sürede kurulması potansiyel saldırı girişimlerini engellemek için şiddetle tavsiye edilir.
Şubat ayında Apple, işletim sistemi kazalarını tetiklemek ve savunmasız iPhone'lar, iPad'ler ve Mac'lerde kod yürütme kazanmak için saldırılarda sömürülen başka bir Webkit Zero Day'e (CVE-2023-23529) hitap etti.
Apple Düzeltmeleri Son zamanlarda eski iPhone'larda ve iPad'lerde sıfır günleri açıkladı
Apple, iPhone'ları, Mac'leri hacklemek için yeni Webkit Zero-Day'i düzeltiyor
Apple düzeltmeleri yakın zamanda eski iPhone'larda Webkit Zero Day'i açıkladı
CISA, Govt Ajanslarına 1 Mayıs'a kadar iPhone'ları, Mac'leri güncellemeyi sipariş ediyor
Cisa, sıfır gün olarak sömürülen pencereler ve iOS hataları konusunda uyarıyor
Kaynak: Bleeping Computer