Apple, Yapay Zeka Araçlarının Yardımıyla iOS ve macOS'taki WebKit Kusurlarını Düzeltiyor
Pierluigi Paganini 30 Haziran 2026 30 Haziran 2026
Apple iOS, iPadOS, macOS ve Safari için güncellemeler yayınlayarak WebKit kusurlarını düzeltti; bunlardan dördü Claude ve Codex gibi yapay zeka araçları kullanılarak tespit edildi
Apple, Pazartesi günü iOS, iPadOS, macOS ve Safari için güvenlik güncellemelerini yayınladı ve bu turda dikkate değer bir gelişme var. Anthropic'in Claude ve OpenAI'nin Codex Security'si de dahil olmak üzere, yamalanan WebKit güvenlik açıklarından dördü yapay zeka araçları kullanılarak bulundu. Bu küçük bir detay değil. Savunma tarafında avı kimin yaptığını değiştirir.
Şirket, Safari'ye ve Apple cihazlarında web içeriğini işleyen diğer her şeye güç veren motor olan WebKit'teki dört hatayı giderdi.
Güvenlik açıklarının açıklamaları aşağıda verilmiştir:
CVE-2026-43707 – WebKit'te, özel hazırlanmış web içeriğini işlerken beklenmeyen bir işlem çökmesine neden olabilecek bir bellek bozulması güvenlik açığı.
– WebKit'te, özel hazırlanmış web içeriğini işlerken beklenmeyen bir işlem çökmesine neden olabilecek bir bellek bozulması güvenlik açığı. CVE-2026-43716 – Kötü amaçlarla hazırlanmış web içeriğini işlerken beklenmedik bir Safari çökmesini tetikleyebilen bir WebKit güvenlik açığı.
– Kötü amaçlarla hazırlanmış web içeriğini işlerken beklenmedik bir Safari çökmesini tetikleyebilen bir WebKit güvenlik açığı. CVE-2026-43745 – WebKit'te, kullanıcı özel hazırlanmış web içeriğini ziyaret ettiğinde Safari'nin çökmesine neden olabilen, sınır dışı bir yazma hatası.
– WebKit'te, kullanıcı özel hazırlanmış web içeriğini ziyaret ettiğinde Safari'nin çökmesine neden olabilecek, sınır dışı bir yazma hatası. CVE-2026-43715 – WebKit'te, kötü amaçla hazırlanmış web içeriği işlenirken bellek bozulmasına yol açabilen, serbest kullanım sonrası güvenlik açığı.
Bunlar çok daha büyük bir yama yükünün parçası. Apple'ın tavsiye niteliğindeki listesi, yalnızca WebKit genelinde 30'a yakın düzeltmeyi listeliyor; bunlar arasında WebKit Canvas'taki ücretsiz kullanım ve kötü amaçlı bir web sitesinin kısıtlanmış içeriği tarayıcı sanal alanından çıkarmasına izin veren bir kusur da var. Çekirdek tarafında, üç ayrı hata, kötü amaçlı bir uygulamanın çekirdek durumunu sızdırmasına, sistemin tamamen çökmesine veya çekirdek belleğinin bozulmasına neden olabilir. Dirty Frag açığını bulmasıyla tanınan güvenlik araştırmacısı Hyunwoo Kim, bu çekirdek sorunlarından ikisinden dolayı itibar kazandı.
Güncellemeler şu anda yayında: iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2 ve Safari 26.5.2. Apple, yamalı güvenlik açıklarından hiçbirinin, düzeltme gönderilmeden önce kötüye kullanıldığına dair işaretler göstermediğini söylüyor. Yine de güncelleyin, açıkçası bu artık gerçekten isteğe bağlı bir tavsiye değil.
Zamanlama neden normalden daha önemli? İşte aslında yeni olan kısım. Apple, Reuters'e, AI'nın bilinen bir kusuru çalışan bir istismara ne kadar hızlı dönüştürebildiğinden dolayı bu düzeltmeleri bir sonraki tam iOS sürümünden ayrı olarak planlanandan önceye ittiğini söyledi. Bir Wire raporunun belirttiği gibi,
"Güvenlik uzmanları daha önce bilinmeyen bir yazılım kusurunu hedef alan bir bilgisayar korsanlığı kampanyası keşfetmedikçe, Apple genellikle iOS'un bir sürümünden diğerine, örneğin şu anda mevcut olan sürüm olan 26.5'ten bir sonraki planlanan güncelleme olan 26.6'ya geçişin bir parçası olarak güvenlik güncellemeleri yayınlar. Bu arada, geliştiriciler ve diğer test uzmanları herhangi bir aksaklığı ortadan kaldırmak için bir sonraki güncellemeyi denemektedir." Reuters'i belirtiyor. "Şirket, bunun yerine, en son güvenlik güncelleme turunun daha geniş 26.6 sürümünden önce herkesin kullanımına sunulduğunu söyledi. Yeni yamalı güvenlik açıklarından herhangi birinin avantaja kullanıldığına dair hiçbir kanıt olmasa da, güvenlik düzeltmelerinin ilk duyurulduğu an ile bunların müşterilerin telefonlarına dağıtıldığı an arasındaki sürenin sıkıştırılması gerektiğini söyledi."
Bu, Apple'ın normalde çalışma biçiminden gerçek bir sapma. Şirket genellikle, bağımsız yamalar göndermek yerine güvenlik düzeltmelerini bir sonraki büyük iOS sürümü artışında bir araya getiriyor. Reuters bunu "Apple'ın güvenlik düzeltmelerini daha geniş yazılım sürümleriyle paketleme konusunda uzun süredir devam eden uygulamasında dikkate değer bir değişiklik" olarak tanımladı; bu, Apple'ın yapay zeka hızlandırma sorununu tek seferlik değil yapısal olarak gördüğünü gösteriyor.
Bu
e Hacker News, yamaların "WebKit'te yapay zeka (AI) araçları kullanılarak keşfedilen dört güvenlik açığı da dahil olmak üzere kusurları" ele aldığını doğruladı. Savunmacılar için bu hataları bulabilen aynı araçlar, farklı ellerde saldırganların da bu hataları bulmasına yardımcı olabilir. Yarış her iki tarafta da hızlandı.
İroniyi gözden kaçırmak zor. Yapay zeka, araştırmacıların bu kusurları bulmasına yardımcı oldu, ancak aynı zamanda saldırganların hataları daha hızlı keşfetmesini ve bunlardan daha hızlı yararlanmasını da kolaylaştırıyor. Bu nedenle Apple, güvenlik güncellemelerini yayınlamak ve saldırganların bu güncellemelerden yararlanmak için harcadığı zamanı azaltmak için daha hızlı hareket ediyor.
Güncellemelerinizi geciktiriyorsanız, şimdi bunları yüklemenin tam zamanı. Bu kusurların çoğu temel olarak çökmelere neden olsa da, saldırganlar genellikle bunları diğer güvenlik açıklarıyla birleştirerek daha ciddi saldırılar gerçekleştirebilir.
Beni Twitter'da takip edin: @securityaffairs ve Facebook ve Mastodon
Pierluigi Paganini
(SecurityAffairs – bilgisayar korsanlığı, Apple)