Apple, iPhone ve Mac kullanıcılarını hedefleyen saldırılarda sömürülen üç yeni sıfır-gün zafiyeti düzeltmek için acil güvenlik güncellemeleri yayınladı; bu yıl toplamda 16 sıfır-gün hatası düzeltildi.
İlk iki hata, WebKit tarayıcı motorunda (CVE-2023-41993) ve Güvenlik çerçevesinde (CVE-2023-41991) bulundu ve saldırganlara kötü amaçlı uygulamaları kullanarak imza doğrulamasını atlamak veya kötü amaçlı oluşturulmuş web sayfaları aracılığıyla keyfi kod yürütme elde etme olanağı tanıdı.
Üçüncü hata, çekirdek çerçevesinde bulundu ve yerel saldırganlar bu hatayı (CVE-2023-41992) ayrıcalıkları yükseltmek için sömürebilir.
Apple, bu üç sıfır-gün hatasını macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 ve watchOS 9.6.3/10.0.1 ile düzeltti ve bir sertifika doğrulama sorununu gidererek ve kontrolleri iyileştirerek bu sorunları ele aldı.
Şirket, güvenlik açıklarını tanımlayan güvenlik bildirimlerinde, “Bu sorunun iOS 16.7’den önceki sürümlerde aktif olarak sömürülmüş olabileceği rapor edilmiştir” dedi.
Etkilenen cihazların listesi, eski ve yeni cihaz modellerini içeriyor ve şunları içeriyor:
- iPhone 8 ve sonrası
- iPad mini 5. nesil ve sonrası
- macOS Monterey ve sonrasında çalışan Mac’ler
- Apple Watch Serisi 4 ve sonrası
Apple henüz bu açıkların saldırılar sırasında nasıl kullanıldığına dair ek ayrıntılar sağlamamış olsa da, Citizen Lab ve Google Tehdit Analizi Grubu güvenlik araştırmacıları, sık sık hedefli casus yazılım saldırılarına uğrayan yüksek riskli bireyleri, gazetecileri, muhalif politikacıları ve muhalifleri hedef alan sıfır-gün hatalarını açıklamışlardır.
kaynak: BleepingComputer