Siber Muhbir

CVE-2022-48618 (CVSS puanı: 7.8) olarak izlenen güvenlik açığı, çekirdek bileşenindeki bir hatayla ilgilidir.

Apple bir danışma belgesinde, "Rastgele okuma ve yazma yeteneğine sahip bir saldırgan, İşaretçi Kimlik Doğrulamasını atlayabilir" dedi ve sorunun "iOS 15.7.1'den önce yayınlanan iOS sürümlerine karşı istismar edilmiş olabileceğini" ekledi.

İPhone üreticisi, sorunun geliştirilmiş kontrollerle çözüldüğünü söyledi. Güvenlik açığının gerçek dünya saldırılarında nasıl silahlandırıldığı şu anda bilinmiyor.

İlginç bir şekilde, kusur için yamalar 13 Aralık 2022'de iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2 ve watchOS 9.2'nin piyasaya sürülmesiyle yayınlandı, ancak yalnızca bir yıldan fazla bir süre sonra 9 Ocak 2024'te kamuya açıklandı.

Apple'ın 20 Temmuz 2022'de piyasaya sürülen iOS 15.6 ve iPadOS 15.6'da çekirdekteki benzer bir kusuru (CVE-2022844, CVSS puanı: 6.3) çözdüğünü belirtmekte fayda var. İki güvenlik açığının ilişkili olup olmadığı hemen belli değil.

Şirket, "Rastgele çekirdek okuma ve yazma yeteneğine sahip bir uygulama, İşaretçi Kimlik Doğrulamasını atlayabilir" dedi. "İyileştirilmiş durum yönetimi ile bir mantık sorunu giderildi."

CVE-2022-48618'in aktif olarak kullanılması ışığında CISA, Federal Sivil Yürütme Organı (FCEB) kurumlarının düzeltmeleri 21 Şubat 2024'e kadar uygulamasını tavsiye ediyor.

Gelişme aynı zamanda Apple'ın WebKit tarayıcı motorunda (CVE-2024-23222, CVSS puanı: 8.8) aktif olarak istismar edilen bir güvenlik açığı için yamaları Apple Vision Pro kulaklığını içerecek şekilde genişletmesiyle birlikte geliyor. Düzeltme, visionOS 1.0.2'de mevcuttur.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.