Apple, Kritik iOS ve macOS Güvenlik Kusurlarını Düzeltmek için Güvenlik Güncellemeleri Yayınladı

Apple Pazartesi günü iOS, iPadOS, macOS, tvOS, watchOS ve Safari web tarayıcısı için birden fazla güvenlik açığını gidermek için güvenlik yamaları yayınladı ve yakın zamanda açıklanan iki sıfır gün için düzeltmeleri eski cihazlara geri aktardı.

Bu, iOS'te ve iPadOS'te AVEVideoEncoder, ExtensionKit, Find My, ImageIO, Kernel, Safari Özel Dolaşma ve WebKit'i kapsayan 12 güvenlik açığı güncellemelerini içerir. macOS Sonoma 14.2 ise ncurses kitaplığını etkileyen altı hatayı sayarak 39 eksikliği gideriyor.

Kusurlar arasında dikkate değer olan, Bluetooth'ta ayrıcalıklı bir ağ konumundaki bir saldırganın klavyeyi taklit ederek tuş vuruşları enjekte etmesine izin verebilecek kritik bir güvenlik sorunu olan CVE-2023-45866'dır.

Güvenlik açığı geçen hafta SkySafe güvenlik araştırmacısı Marc Newlin tarafından açıklandı. iPhone üreticisi, iOS 17.2, iPadOS 17.2 ve macOS Sonoma 14.2'de geliştirilmiş kontrollerle düzeltildiğini söyledi.

Ayrıca Apple tarafından piyasaya sürülen Safari 17.2, rastgele kod yürütülmesine ve hizmet reddi (DoS) durumuna yol açabilecek iki WebKit kusuru (CVE-2023-42890 ve CVE-2023-42883) için düzeltmeler içerir. Güncelleme, macOS Monterey ve macOS Ventura çalıştıran Mac'ler için kullanılabilir.

iOS 17.2 ve iPadOS 17.2, fiziksel erişimi olan bir saldırganın hassas verileri elde etmesine izin verebilecek bir Siri hatasını ele almanın yanı sıra, kullanıcıların iletişim kurdukları kişileri doğrulamalarını sağlayarak iMessage konuşmalarının gizliliğini sağlayan Kişi Anahtarı Doğrulaması biçiminde bir güvenlik yükseltmesi içerir.

Apple, Ekim 2023'te teknik bir açıklamada, "iMessage İletişim Anahtarı Doğrulaması, kullanıcı cihazlarının kendilerinin tutarlılık kanıtlarını doğrulamasını ve bir hesap için tüm kullanıcı cihazlarında KT sisteminin tutarlılığını sağlamasını sağlayarak Anahtar Şeffaflığı dağıtımlarının son durumunu geliştirir" dedi.

"Bu iyileştirmeler, kilit dizinin ele geçirilmesine ve şeffaflık hizmetinin kendisinin tehlikeye atılmasına karşı koruma sağlıyor ve her iki hizmet tarafından sunulan bölünmüş görünümleri tespit edebiliyor."

Güncellemelerle aynı zamana denk gelen Apple, ikisi WebKit ile ilgili (CVE-2023-42916 ve CVE-2023-42917) ve Redmond tarafından bu ayın başlarında vahşi doğada aktif olarak istismar edildiği açıklanan sekiz güvenlik sorununu kapatmak için iOS 16.7.3 ve iPadOS 16.7.3'ü de yayınladı.

Her iki güvenlik açığı da tvOS 17.2 ve watchOS 10.2'de de yamalandı. İstismarın doğası ve bunları kullanıyor olabilecek tehdit aktörleri hakkında henüz ek bir ayrıntı mevcut değil.