Apple, iPhone'lar için Kritik Sıfır Gün Hatası İçin Yama Yayınladı

23.01.2024

Pazartesi günü, Apple, iOS, iPadOS, macOS, tvOS ve Safari web tarayıcısı dahil çeşitli platformlarda güvenlik güncellemeleri yayınladı. Bu güncellemeler, aktif olarak kullanılan yeni keşfedilmiş bir zero-day zafiyetiyle başa çıkmayı amaçlıyor. Belirlenen sorun, CVE-2024-23222 olarak adlandırılmış olup bir tür karışıklık hatası olarak kategorize ediliyor. Bu hatanın sömürülmesi, kötü niyetli bir aktörün web içeriğini manipüle ederek keyfi kodu yürütmesine izin verebilir. Apple, hatanın gelişmiş kontrollerle çözüldüğünü bildirdi.

Bu güncellemede ele alınan tür karışıklığı zafiyetleri, bellek erişimi dışında çıkma, çökmeler ve keyfi kod yürütme için kullanılabilecek potansiyele sahiptir.

Apple, "bu sorunun sömürülmüş olabileceği bir raporu farkında olduğunu" kabul etse de, saldırıların doğası veya tehdit aktörlerinin kimliği hakkında özel bilgileri kısa bir bildiride açıklamadı.

Güvenlik güncellemeleri şu cihazlara ve işletim sistemlerine uygulanmaktadır:

• iOS 17.3 ve iPadOS 17.3 (iPhone XS ve sonraki modeller, çeşitli iPad modelleri)
• iOS 16.7.5 ve iPadOS 16.7.5 (iPhone 8, iPhone 8 Plus, iPhone X ve belirli iPad modelleri)
• macOS Sonoma 14.3 (macOS Sonoma çalıştıran Mac'ler)
• macOS Ventura 13.6.4 (macOS Ventura çalıştıran Mac'ler)
• macOS Monterey 12.7.3 (macOS Monterey çalıştıran Mac'ler)
• tvOS 17.3 (Apple TV HD ve Apple TV 4K, tüm modeller)
• Safari 17.3 (macOS Monterey ve macOS Ventura çalıştıran Mac'ler)

Bu gelişme, Apple'ın bu yıl içinde aktif olarak sömürülen bir sıfır gün zafiyetine ilk yanıtını temsil etmektedir. Geçen yıl, Apple, gerçek dünya saldırılarında kullanılan toplam 20 sıfır günü ele aldı.

Ayrıca, Apple, Aralık 2023'te yayınlanan yamalarla ilgili olarak CVE-2023-42916 ve CVE-2023-42917 için retroaktif düzeltmeler uygulamıştır. Bu düzeltmeler, iPhone 6s, iPhone 7, iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil) gibi eski cihazlara genişletilmiştir.

Bu duyuru, Çin makamlarının, Apple'ın AirDrop işlevinde bilinen zafiyetleri kullanarak hukuki bir süreçte uygunsuz içerik gönderen bireyleri tespit etmelerine yardımcı olduğunu ortaya koyan ayrı bir raporun ardından gelmektedir. Bu teknik, gökkuşağı tabanlı bir yönteme dayanmaktadır.