Apple Acil Güncelleme Yayınladı: Sıfır Gün Açıklarına Karşı Kritik Güvenlik Önlemi

20.11.2024

Apple, vahşi ortamda aktif olarak istismar edilen iki sıfır gün güvenlik açığını gidermek için iOS, iPadOS, macOS, visionOS ve Safari için güvenlik güncellemeleri yayınladı. CVE-2024-44308 ve CVE-2024-44309 olarak tanımlanan güvenlik açıkları sırasıyla JavaScriptCore ve WebKit bileşenlerini etkiliyor.

CVE-2024-44308, kötü amaçlı web içeriği işlendiğinde keyfi kod çalıştırılmasına olanak tanıyabilecek bir JavaScriptCore açığıdır. CVE-2024-44309 ise, kötü amaçlı web içeriği işlendiğinde siteler arası betik saldırılarına (XSS) yol açabilecek bir WebKit çerez yönetimi zafiyetidir. Apple, bu sorunları geliştirilmiş kontroller ve iyileştirilmiş durum yönetimi ile çözdüğünü duyurdu.

Şirket, bu güvenlik açıklarının özellikle Intel tabanlı Mac sistemlerde aktif olarak istismar edilmiş olabileceğini kabul etti. İstismarın ayrıntıları henüz net değil ancak Google'ın Threat Analysis Group (TAG) ekibinden Clément Lecigne ve Benoît Sevens tarafından keşfedilmesi, bu açıkların hükümet destekli veya paralı casus yazılım kampanyalarında hedefli saldırılar için kullanılmış olabileceğini düşündürüyor.

Güncellemeler, iOS 18.1.1, iPadOS 18.1.1, macOS Sequoia 15.1.1, visionOS 2.1.1 ve Safari 18.1.1 gibi bir dizi cihaz ve işletim sistemi için kullanıma sunuldu. Bu güncellemeler, kullanıcıları bu güvenlik açıklarıyla ilişkili potansiyel tehditlerden korumayı amaçlıyor.

Bu yıl Apple'ın yayınladığı dördüncü sıfır gün yaması oldu. Daha önceki güvenlik açıklarından biri Pwn2Own Vancouver hackleme yarışmasında gösterilmiş, diğerleri ise Ocak ve Mart aylarında kapatılmıştı.