Siber Muhbir

Apple, iOS, iPadOS, macOS, watchOS ve Safari'yi etkileyen, aktif olarak istismar edilen üç sıfır gün kusurunu ele almak için bir dizi güvenlik yaması daha yayınladı ve bu yıl yazılımında keşfedilen sıfır gün hatalarının toplam sayısını 16'ya çıkardı.

Güvenlik açıklarının listesi aşağıdaki gibidir -

• CVE-2023-41991 - Güvenlik çerçevesinde, kötü amaçlı bir uygulamanın imza doğrulamasını atlamasına izin verebilecek bir sertifika doğrulama sorunu.
• CVE-2023-41992 - Kernel'de yerel bir saldırganın ayrıcalıklarını yükseltmesine izin verebilecek bir güvenlik açığı.
• CVE-2023-41993 - Özel hazırlanmış web içeriği işlenirken rastgele kod yürütülmesine neden olabilecek bir WebKit kusuru.

Apple, "sorunun iOS 16.7'den önceki iOS sürümlerine karşı aktif olarak istismar edilmiş olabileceğini" kabul eden ek ayrıntılar sağlamadı.

Güncellemeler aşağıdaki cihazlar ve işletim sistemleri için kullanılabilir:

• iOS 16.7 ve iPadOS 16.7 - iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller, iPad mini 5. nesil ve sonraki modeller
• iOS 17.0.1 ve iPadOS 17.0.1 - iPhone XS ve sonraki modeller, iPad Pro 12.9 inç 2. nesil ve sonraki modeller, iPad Pro 10.5 inç, iPad Pro 11 inç 1. nesil ve sonraki modeller, iPad Air 3. nesil ve sonraki modeller, iPad 6. nesil ve sonraki modeller, iPad mini 5. nesil ve sonraki modeller
• macOS Monterey 12.7 ve macOS Ventura 13.6
• watchOS 9.6.3 ve watchOS 10.0.1 - Apple Watch Series 4 ve sonraki modeller
• Safari 16.6.1 - macOS Big Sur ve macOS Monterey

Toronto Üniversitesi Munk Okulu'ndaki Citizen Lab'den Bill Marczak ve Google'ın Tehdit Analiz Grubu'ndan (TAG) Maddie Stone, siber tehdit riski yüksek olan sivil toplum üyelerini hedef alan yüksek hedefli casus yazılımların bir parçası olarak kötüye kullanılmış olabileceklerini belirtti.

Açıklama, Apple'ın Pegasus olarak bilinen bir paralı casus yazılım dağıtmak için BLASTPASS adlı sıfır tıklamalı bir iMessage istismar zincirinin parçası olarak zincirlenen diğer iki aktif olarak istismar edilen sıfır günü (CVE-2023-41061 ve CVE-2023-41064) çözmesinden iki hafta sonra geldi.

Bunu, hem Google hem de Mozilla'nın, özel hazırlanmış bir görüntü işlenirken rastgele kod yürütülmesine neden olabilecek bir güvenlik açığını (CVE-2023-4863) içerecek şekilde nakliye düzeltmeleri izledi.

Isosceles'in kurucusu ve eski Google Project Zero araştırmacısı Ben Hawkes'a göre, hem Apple'ın Image I/O görüntü ayrıştırma çerçevesindeki bir arabellek taşması güvenlik açığı olan CVE-2023-41064'ün hem de WebP görüntü kitaplığındaki (libwebp) bir yığın arabellek taşması olan CVE-2023-4863'ün aynı hataya atıfta bulunabileceğini gösteren kanıtlar var.

Rezilion, perşembe günü yayınlanan bir analizde, libwebp kütüphanesinin çeşitli işletim sistemlerinde, yazılım paketlerinde, Linux uygulamalarında ve konteyner görüntülerinde kullanıldığını ortaya çıkardı ve güvenlik açığının kapsamının başlangıçta tahmin edilenden çok daha geniş olduğunu vurguladı.

Hawkes, "İyi haber şu ki, hata yukarı akış libwebp'de doğru bir şekilde yamalanmış gibi görünüyor ve bu yama gitmesi gereken her yere doğru ilerliyor" dedi. "Kötü haber şu ki, libwebp birçok yerde kullanılıyor ve yamanın doygunluğa ulaşması biraz zaman alabilir."