iPhone Kullanıcılarına Acil Uyarı: İki Sıfırıncı Gün Açığı İçin Güncelleme Şart Yazılım

iPhone Kullanıcılarına Acil Uyarı: İki Sıfırıncı Gün Açığı İçin Güncelleme Şart

Apple, aktif olarak istismar edilen iki kritik sıfırıncı gün açığını kapatmak için acil güncellemeler yayınladı. Kullanıcıların iOS 15.6.1 ve macOS 12

Apple, macOS ve iPhone/iPad kullanıcılarını bu hafta yayınlanan ve aktif saldırı altında olan iki sıfırıncı gün açığını kapatan güncellemeleri hemen yüklemeye çağırıyor. Yayınlanan yamalar, saldırganların cihazlara tamamen ele geçirmesine olanak tanıyan kod yürütme zafiyetlerini gideriyor. Etkilenen cihazlar arasında iOS 15.6.1 ve macOS Monterey 12.5.1 sürümlerini çalıştıran tüm Apple cihazları bulunuyor. Apple'ın Çarşamba günü yayınladığı güvenlik güncellemelerine göre, bu iki açık temel olarak iOS 15 veya macOS Monterey çalıştıran tüm Apple cihazlarını etkiliyor.

İlk açık, hem iOS hem de macOS'ta bulunan bir çekirdek hatası (CVE-2022-32894). Apple, bu sorunu 'geliştirilmiş sınır kontrolü ile düzeltilen bir sınır dışı yazma sorunu' olarak tanımlıyor. Bu zafiyet, bir uygulamanın çekirdek ayrıcalıklarıyla keyfi kod yürütmesine izin veriyor. Apple, bu açığın 'aktif olarak istismar edilmiş olabileceğine' dair bir rapor aldığını belirtti. İkinci açık ise WebKit motorunda bulunan bir sınır dışı yazma hatası (CVE-2022-32893). Bu zafiyet, kötü niyetli web içeriğinin işlenmesi yoluyla kod yürütülmesine olanak tanıyor ve yine aktif saldırı altında olduğu bildiriliyor. WebKit, Safari ve iOS'taki tüm üçüncü taraf tarayıcıların temelini oluşturan motor.

Uzmanlar, bu açıkların 'Pegasus benzeri' bir senaryoya yol açabileceği konusunda uyarıyor. Sosyal Mühendislik Güvenliği CEO'su Rachel Tobac, sıradan kullanıcıların güncellemeyi gün sonuna kadar yapmasını, gazeteci, aktivist veya devlet destekli saldırı hedefi olanların ise hemen güncelleme yapmasını tavsiye ediyor. Bu açıkların keşfi, Apple'ın açıklamalarının ötesinde çok az bilgiye sahip olduğumuz anonim bir araştırmacıya atfediliyor. Norveçli uygulama güvenlik şirketi Promon'un kıdemli teknik direktörü Andrew Whaley, bu tür zafiyetlerin üst düzey teknoloji şirketlerinin sürekli güvenlik sorunlarıyla mücadelesinin ne kadar zorlu olduğunu gösterdiğini belirtiyor.

Whaley, iPhone'ların yaygınlığı ve kullanıcıların mobil cihazlara olan bağımlılığı göz önüne alındığında, iOS'taki açıkların özellikle endişe verici olduğunu vurguluyor. Ancak, cihazları koruma sorumluluğunun yalnızca satıcılara ait olmadığını, kullanıcıların da mevcut tehditlerin daha fazla farkında olması gerektiğini söylüyor. 'Mobil cihazlarımıza güveniyoruz ancak onlar da savunmasız. Masaüstü işletim sistemlerinde olduğu gibi tetikte olmalıyız' diyen Whaley, ayrıca iPhone ve diğer mobil cihazlar için uygulama geliştiricilerin, sık sık ortaya çıkan açıklar nedeniyle işletim sistemi güvenliğine daha az bağımlı hale gelmek için teknolojilerine ek güvenlik kontrolleri eklemeleri gerektiğini belirtiyor. 'Deneyimlerimize göre bu yeterince yapılmıyor ve bankacılık gibi kritik uygulamalar risk altında kalıyor' uyarısında bulunuyor.

Paylaş: