Apple iPhone Kullanıcılarına Acil Güncelleme Çağrısı: 2 Sıfır Gün Açığı Aktif Olarak Kullanılıyor Yazılım

Apple iPhone Kullanıcılarına Acil Güncelleme Çağrısı: 2 Sıfır Gün Açığı Aktif Olarak Kullanılıyor

Apple, macOS ve iOS’ta aktif olarak kullanılan iki sıfır gün açığını kapatan acil güncellemeler yayınladı. Açıklar cihazın tamamen ele geçirilmesine i

Apple, macOS ve iOS işletim sistemlerinde aktif olarak istismar edilen iki sıfır gün açığını kapatan güncellemeler yayınladı. Şirket, iPhone ve iPad kullanıcılarını iOS 15.6.1’e, Mac kullanıcılarını ise macOS Monterey 12.5.1’e güncellemeye çağırıyor. Bu güncellemeler, saldırganların çekirdek (kernel) ve WebKit üzerinden cihazı tamamen ele geçirmesine olanak tanıyan kritik açıkları kapatıyor. Apple’ın güvenlik bültenine göre, her iki açık da sınır dışı yazma (out-of-bounds write) sorunundan kaynaklanıyor ve gelişmiş sınır kontrolleri ile giderildi.

İlk açık (CVE-2022-32894), iOS ve macOS’un çekirdeğinde bulunuyor. Bu açık, bir uygulamanın çekirdek ayrıcalıklarıyla keyfi kod çalıştırmasına izin veriyor. Apple, bu açığın aktif olarak istismar edildiğine dair raporlar aldığını belirtti. İkinci açık ise (CVE-2022-32893) WebKit motorunda yer alıyor. WebKit, Safari ve iOS’taki tüm üçüncü taraf tarayıcıların temelini oluşturuyor. Saldırganlar, özel hazırlanmış web içeriği ile bu açığı kullanarak kod çalıştırabiliyor. Her iki açık da isimsiz bir araştırmacı tarafından keşfedildi.

Uzmanlar, bu açıkların Pegasus benzeri bir senaryoya yol açabileceği konusunda uyarıyor. Geçmişte NSO Group’un Pegasus casus yazılımı, iPhone’daki bir açığı kullanarak hedeflere sızıyordu. SosyalProof Security CEO’su Rachel Tobac, kullanıcıları güncellemeyi geciktirmemeleri konusunda uyardı: “Çoğu kişi için günü bitirmeden güncelleyin. Eğer tehdit seviyeniz yüksekse (gazeteci, aktivist, devlet hedefi gibi) hemen güncelleyin.” Tobac, özellikle yüksek risk altındaki kullanıcıların anında harekete geçmesi gerektiğini vurguladı.

Gelecekte Ne Bekleniyor?

Bu açıklar, Google’ın Chrome tarayıcısı için bu yılki beşinci sıfır gün açığını yamamaya hazırlandığı bir dönemde ortaya çıktı. Norveçli uygulama güvenlik şirketi Promon’un kıdemli teknik direktörü Andrew Whaley, büyük teknoloji firmalarının bile sürekli olarak güvenlik açıklarıyla mücadele ettiğini belirtti. Whaley, özellikle iPhone’ların yaygın kullanımı ve kullanıcıların mobil cihazlara olan bağımlılığı nedeniyle bu açıkların endişe verici olduğunu söyledi. Kullanıcıların masaüstü işletim sistemlerinde olduğu gibi mobil cihazlarında da dikkatli olmaları gerektiğini vurgulayan Whaley, uygulama geliştiricilerinin de ek güvenlik katmanları eklemesi gerektiğini ifade etti.

Paylaş: