iPhone Kullanıcılarına Acil Güncelleme Çağrısı: Aktif Olarak Kullanılan İki Zero-Day Açığı Kapatıldı Yazılım

iPhone Kullanıcılarına Acil Güncelleme Çağrısı: Aktif Olarak Kullanılan İki Zero-Day Açığı Kapatıldı

Apple, aktif olarak istismar edilen iki zero-day güvenlik açığını kapatmak için iOS 15.6.1 ve macOS Monterey 12.5.1 güncellemelerini yayınladı.

Apple, iPhone ve iPad kullanıcılarını acilen iOS 15.6.1 sürümüne, Mac kullanıcılarını ise macOS Monterey 12.5.1'e güncellemeye çağırdı. Bu güncellemeler, halihazırda aktif olarak istismar edilen iki zero-day güvenlik açığını kapatıyor. Açıklardan biri kernel'de, diğeri ise WebKit'te bulunuyor ve saldırganların cihazları ele geçirmesine olanak tanıyor. Apple, bu açıkların 'aktif olarak istismar edilmiş olabileceğini' belirterek kullanıcıları uyardı.

İlk güvenlik açığı (CVE-2022-32894), bir kernel hatası olarak tanımlanıyor. Apple, bu hatayı 'geliştirilmiş sınır kontrolü' ile düzelttiğini açıkladı. Bu açık, bir uygulamanın kernel ayrıcalıklarıyla rastgele kod çalıştırmasına izin veriyor. İkinci açık (CVE-2022-32893) ise WebKit motorunda bulunuyor ve kötü amaçlı web içeriği işlenmesi yoluyla kod çalıştırmaya yol açıyor. Safari ve iOS'taki tüm üçüncü taraf tarayıcılar WebKit'i kullandığı için bu açık özellikle kritik.

Güvenlik uzmanları, bu açıkların Pegasus benzeri bir senaryoya yol açabileceği konusunda uyarıyor. SocialProof Security CEO'su Rachel Tobac, 'Çoğu kişi için: günü bitmeden güncelleyin. Tehdit modeli yüksekse (gazeteci, aktivist, devlet destekli saldırı hedefi vb.): hemen güncelleyin' dedi. Bu açıkların, kullanıcılara tam cihaz erişimi sağlayabileceği ve özellikle gazeteciler, aktivistler gibi hedef gruplar için büyük risk oluşturduğu belirtiliyor.

Norveçli uygulama güvenliği şirketi Promon'un kıdemli teknik direktörü Andrew Whaley, iPhone'ların yaygınlığı ve kullanıcıların mobil cihazlara olan bağımlılığı göz önüne alındığında, bu açıkların özellikle endişe verici olduğunu söyledi. Whaley, 'Cihazlarımızı korumak yalnızca satıcıların sorumluluğu değil, kullanıcıların da mevcut tehditlerin farkında olması gerekiyor' dedi. Ayrıca, iPhone ve diğer mobil cihazlar için uygulama geliştiricilerin, işletim sistemi güvenliğine daha az bağımlı olacak şekilde ek güvenlik kontrolleri eklemeleri gerektiğini vurguladı.

Paylaş: