Siber Muhbir

Apple Çarşamba günü, iOS ve iPadOS'ta vahşi doğada aktif olarak sömürüldüğünü söylediği yeni bir sıfır gün kusurunu gidermek için güvenlik yamaları yayınladı.

CVE-2023-42824 olarak izlenen çekirdek güvenlik açığı, yerel bir saldırgan tarafından ayrıcalıklarını yükseltmek için kötüye kullanılabilir. İPhone üreticisi, sorunu geliştirilmiş kontrollerle çözdüğünü söyledi.

Şirket, kısa ve öz bir danışma belgesinde, "Apple, bu sorunun iOS 16.6'dan önceki iOS sürümlerine karşı aktif olarak istismar edilmiş olabileceğine dair bir raporun farkındadır" dedi.

Saldırıların doğası ve bunları gerçekleştiren tehdit aktörlerinin kimliği hakkında ek ayrıntılar şu anda bilinmemekle birlikte, başarılı bir istismar büyük olasılıkla bir saldırganın başka yollarla zaten bir başlangıç noktası elde etmesine bağlıdır.

Apple'ın en son güncellemesi, Google'ın geçen hafta libvpx'te VP2023 sıkıştırma biçiminde yığın tabanlı bir arabellek taşması olarak tanımladığı WebRTC bileşenini etkileyen CVE-5217-8'yi de çözüyor.

iOS 17.0.3 ve iPadOS 17.0.3 yamaları aşağıdaki cihazlar için kullanılabilir:

• iPhone XS ve sonraki modeller
• iPad Pro 12.9 inç 2. nesil ve sonraki modeller, iPad Pro 10.5 inç, iPad Pro 11 inç 1. nesil ve sonraki modeller, iPad Air 3. nesil ve sonraki modeller, iPad 6. nesil ve sonraki modeller, iPad mini 5. nesil ve sonraki modeller

Yeni gelişmeyle birlikte Apple, yılın başından bu yana yazılımlarında aktif olarak istismar edilen toplam 17 sıfır günü ele aldı.

Ayrıca, Cupertino'nun üç sorunu (CVE-2023-41991, CVE-2023-41992 ve CVE-2023-41993) çözmek için düzeltmeler yayınlamasından iki hafta sonra geldi ve bunların tümünün Cytrox adlı İsrailli bir casus yazılım satıcısı tarafından Predator kötü amaçlı yazılımını bu yılın başlarında eski Mısır milletvekili Ahmed Eltantawy'ye ait iPhone'a teslim etmek için kötüye kullanıldığı söyleniyor.

Burada dikkat edilmesi gereken bir nokta, CVE-2023-41992'nin aynı zamanda yerel saldırganların ayrıcalık yükseltmesi elde etmesine izin veren çekirdekteki bir eksikliğe de atıfta bulunmasıdır.

İki kusurun birbiriyle herhangi bir bağlantısı olup olmadığı ve CVE-2023-42824'ün CVE-2023-41992 için bir yama atlaması olup olmadığı hemen belli değil.

Sekoia, yakın tarihli bir analizde, Aralık 2021'de Cytrox (diğer adıyla Lycantrox) müşterileri ile Candiru (diğer adıyla Karkadann) adlı başka bir ticari casus yazılım şirketi arasında, muhtemelen her iki casus yazılım teknolojisini de kullanmaları nedeniyle altyapı benzerlikleri bulduğunu söyledi.

Fransız siber güvenlik firması, "Lycantrox tarafından kullanılan altyapı, birkaç özerk sistemde barındırılan VPS'den oluşuyor" dedi ve her müşterinin kendi VPS örneklerini çalıştırdığını ve bununla ilgili kendi alan adlarını yönettiğini söyledi.

Hedef alınma riski taşıyan kullanıcıların, paralı casus yazılım açıklarından yararlanma riskini azaltmak için Kilitleme Modu'nu etkinleştirmeleri önerilir.