Tehdit aktörlerinin cihazları ele geçirmesine ve saldırı altında olmasına olanak tanıyan, çekirdek ve WebKit'teki ilgili kusurları macOS ve iOS yamalarına yönelik ayrı düzeltmeler.
Apple, macOS, iPhone ve iPad kullanıcılarını bu hafta aktif saldırı altındaki iki sıfır gün için düzeltmeler içeren ilgili güncellemeleri derhal yüklemeye çağırıyor. Yamalar, saldırganların rastgele kod çalıştırmasına ve sonuçta cihazları ele geçirmesine olanak tanıyan güvenlik açıklarına yöneliktir.
iOS 15.6.1 ve macOS Monterey 12.5.1 çalıştıran etkilenen cihazlar için yamalar mevcuttur. Apple Çarşamba günü yayınlanan güvenlik güncellemelerine göre yamalar, temel olarak iOS 15 veya masaüstü işletim sisteminin Monterey sürümünü çalıştırabilen tüm Apple cihazlarını etkileyen iki kusuru ele alıyor.
Kusurlardan biri, hem iOS hem de macOS'ta bulunan bir çekirdek hatasıdır (CVE-2022-32894). Apple'a göre bu, "geliştirilmiş sınır kontrolüyle giderilen bir sınır dışı yazma sorunudur."
Apple'a göre güvenlik açığı, bir uygulamanın çekirdek ayrıcalıklarıyla rastgele kod çalıştırmasına izin veriyor ve her zamanki gibi muğlak bir şekilde "aktif olarak istismar edilmiş olabileceğine" dair bir rapor var.
İkinci kusur, Apple'ın gelişmiş sınır denetimiyle ele aldığı, sınırların dışında yazma sorunu olan WebKit hatası (CVE-2022-32893 olarak izlenir) olarak tanımlandı. Bu kusur, kod yürütmeye yol açabilecek, kötü niyetli olarak hazırlanmış web içeriğinin işlenmesine izin veriyor ve ayrıca Apple'a göre aktif olarak istismar edildiği rapor ediliyor. WebKit, Safari'ye ve iOS'ta çalışan diğer tüm üçüncü taraf tarayıcılara güç veren tarayıcı motorudur.
Pegasus Benzeri Senaryo
Apple'ın açıklamasının ötesinde hakkında çok az şey bilinen her iki kusurun keşfi, anonim bir araştırmacıya atfedildi.
Uzmanlardan biri, Apple'ın en son kusurlarının "saldırganlara etkili bir şekilde cihaza tam erişim hakkı verebileceği" ve bu kusurların, ulus devlet APT'lerinin iPhone'daki bir güvenlik açığından yararlanarak İsrail NSO Grubu tarafından üretilen casus yazılımlarla hedeflere saldırdığı senaryoya benzer Pegasus benzeri bir senaryo yaratabileceği yönündeki endişesini dile getirdi.
SocialProof Security'nin CEO'su Rachel Tobac, sıfır günlerle ilgili olarak "Çoğu insan için: yazılımı gün sonuna kadar güncelleyin" diye tweet attı. Tobac, "Tehdit modeli yükselirse (gazeteci, aktivist, ulus devletlerin hedefi vb.): hemen güncelleyin" diye uyardı.
Sıfır Gün Bolluğu
Kusurlar, bu hafta Google'ın, aktif saldırı altında keyfi bir kod yürütme hatası olan Chrome tarayıcısı için bu yıl şimdiye kadarki beşinci sıfır gününü yamaladığına dair diğer haberlerle birlikte açıklandı.
Norveçli bir uygulama güvenlik şirketi olan Promon'un kıdemli teknik direktörü Andrew Whaley, önde gelen teknoloji sağlayıcılarının daha fazla güvenlik açığının tehdit aktörleri tarafından saldırıya uğradığına ilişkin haberlerin, üst düzey teknoloji şirketlerinin yazılımlarındaki daimi güvenlik sorunlarını çözmek için gösterdikleri en iyi çabalara rağmen bunun çetin bir mücadele olmaya devam ettiğini gösterdiğini belirtti.
iPhone'ların her yerde bulunması ve kullanıcıların günlük yaşamlarında mobil cihazlara tamamen bağımlı olmaları göz önüne alındığında, iOS'taki kusurların özellikle endişe verici olduğunu söyledi. Ancak Whaley, bu cihazları koruma sorumluluğunun yalnızca satıcılarda değil, aynı zamanda kullanıcıların da mevcut tehditler konusunda daha bilinçli olması gerektiğini gözlemledi.
Threatpost'a gönderdiği bir e-postada, "Hepimiz mobil cihazlarımıza güvensek de, bunlar dayanıklı değil ve kullanıcılar olarak tıpkı masaüstü işletim sistemlerinde olduğu gibi korumamızı korumamız gerekiyor" dedi.
Whaley, aynı zamanda, iPhone'lara ve diğer mobil cihazlara yönelik uygulama geliştiricilerinin, sıklıkla ortaya çıkan kusurlar göz önüne alındığında, koruma için işletim sistemi güvenliğine daha az bağımlı olmaları için teknolojilerine ekstra bir güvenlik kontrolleri katmanı eklemesi gerektiğini gözlemledi.
"Deneyimlerimiz bunun yeterince gerçekleşmediğini, potansiyel olarak bankacılığı ve diğer müşterileri savunmasız bıraktığını gösteriyor" dedi.