iPhone Kullanıcılarından 2. Sıfır Günü Yaması Güncellemesi Çağrısı

Apple, macOS, iPhone ve iPad kullanıcılarını bu hafta aktif saldırı altındaki iki sıfır gün için düzeltmeler içeren ilgili güncellemeleri derhal yüklemeye çağırıyor. Yamalar, saldırganların rastgele kod çalıştırmasına ve sonuçta cihazları ele geçirmesine olanak tanıyan güvenlik açıklarına yöneliktir.

Çalışan etkilenen cihazlar için yamalar mevcuttur iOS 15.6.1 ve macOS Monterey 12.5.1. Apple Çarşamba günü yayınlanan güvenlik güncellemelerine göre yamalar, temel olarak iOS 15 veya masaüstü işletim sisteminin Monterey sürümünü çalıştırabilen tüm Apple cihazlarını etkileyen iki kusuru ele alıyor.

Kusurlardan biri çekirdek hatasıdır (CVE-2022-32894), hem iOS hem de macOS'ta mevcuttur. Apple'a göre bu, "geliştirilmiş sınır kontrolüyle giderilen bir sınır dışı yazma sorunudur."

Apple'a göre güvenlik açığı, bir uygulamanın çekirdek ayrıcalıklarıyla rastgele kod çalıştırmasına izin veriyor ve her zamanki gibi muğlak bir şekilde "aktif olarak istismar edilmiş olabileceğine" dair bir rapor var.

İkinci kusur, Apple'ın gelişmiş sınır denetimiyle ele aldığı, sınırların dışında yazma sorunu olan WebKit hatası (CVE-2022-32893 olarak izlenir) olarak tanımlandı. Bu kusur, kod yürütmeye yol açabilecek, kötü niyetli olarak hazırlanmış web içeriğinin işlenmesine izin veriyor ve ayrıca Apple'a göre aktif olarak istismar edildiği rapor ediliyor. WebKit, Safari'ye ve iOS'ta çalışan diğer tüm üçüncü taraf tarayıcılara güç veren tarayıcı motorudur.

Pegasus Benzeri Senaryo

Apple'ın açıklamasının ötesinde hakkında çok az şey bilinen her iki kusurun keşfi, anonim bir araştırmacıya atfedildi.

Uzmanlardan biri, Apple'ın en son kusurlarının "saldırganlara etkili bir şekilde cihaza tam erişim olanağı verebileceği" ve bunların bir Pegasus benzeri ulus devlet APT'lerinin hedeflere saldırdığı senaryoya benzer bir senaryo casus yazılımla İsrailli NSO Grubu tarafından iPhone'daki bir güvenlik açığından yararlanılarak yapılmıştır.

"Çoğu insan için: yazılımı gün sonuna kadar güncelleyin" tweeted Sıfır günlerle ilgili SocialProof Security'nin CEO'su Rachel Tobac. Tobac, "Tehdit modeli yükselirse (gazeteci, aktivist, ulus devletlerin hedefi vb.): hemen güncelleyin" diye uyardı.

Sıfır Gün Bolluğu

Kusurlar, bu hafta Google'dan gelen diğer haberlerle birlikte açıklandı. yama yapıyordu Aktif saldırı altında keyfi bir kod yürütme hatası olan Chrome tarayıcısı için bu yıl şu ana kadar beşinci sıfır günü yaşandı.

Tehdit aktörleri tarafından saldırıya uğrayan üst düzey teknoloji satıcılarının daha fazla güvenlik açığına ilişkin haberleri, üst düzey teknoloji şirketlerinin yazılımlarındaki daimi güvenlik sorunlarını çözmek için gösterdikleri en iyi çabalara rağmen, bunun zorlu bir mücadele olmaya devam ettiğini gösteriyor, diye belirtti Kıdemli Teknik Direktör Andrew Whaley. PromonNorveçli bir uygulama güvenliği şirketi.

iPhone'ların her yerde bulunması ve kullanıcıların günlük yaşamlarında mobil cihazlara tamamen bağımlı olmaları göz önüne alındığında, iOS'taki kusurların özellikle endişe verici olduğunu söyledi. Ancak Whaley, bu cihazları koruma sorumluluğunun yalnızca satıcılarda değil, aynı zamanda kullanıcıların da mevcut tehditler konusunda daha bilinçli olması gerektiğini gözlemledi.

Threatpost'a gönderdiği bir e-postada, "Hepimiz mobil cihazlarımıza güvensek de, bunlar dayanıklı değil ve kullanıcılar olarak tıpkı masaüstü işletim sistemlerinde olduğu gibi korumamızı korumamız gerekiyor" dedi.

Whaley, aynı zamanda, iPhone'lara ve diğer mobil cihazlara yönelik uygulama geliştiricilerinin, sıklıkla ortaya çıkan kusurlar göz önüne alındığında, koruma için işletim sistemi güvenliğine daha az bağımlı olmaları için teknolojilerine ekstra bir güvenlik kontrolleri katmanı eklemesi gerektiğini gözlemledi.

"Deneyimlerimiz bunun yeterince gerçekleşmediğini, potansiyel olarak bankacılığı ve diğer müşterileri savunmasız bıraktığını gösteriyor" dedi.