Apple’ın iPhone, iPad, iPod, MacOS ve Apple Watch ürünlerindeki Webkit motorunun aktif olarak istismar edildiği şirket tarafından açıklanmıştı.
Web tarayıcılarına, web sayfalarının işlenmesine izin vermek için tasarlanan Webkit motorunda keşfedilen CVE-2021-30665 ve CVE-2021-30663 hata kodlu 0-day’ler, RCE saldırılarında kullanılıyor.
CVE-2021-30665, Çinli güvenlik şirketi Qihoo 360 araştırmacıları tarafından keşfedilirken, CVE-2021-30663 anonim olarak kalmak isteyen bir araştırmacı tarafından bildirildi.
Söz konusu 0-day’ler iPhone 6s ve üstü, iPad Pro (tüm modeller), iPad Air 2 ve üstü, iPad 5. nesil ve üstü, iPad mini 4 ve üstü ve iPod touch (7. nesil), macOS Big Sur, Apple Watch Series 3 ve sonraki sürümlerini etkiliyor.
EN KAPSAMLI GÜNCELLEMELERDEN BİRİ
Apple ise yayımladığı iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1 ve watchOS 7.4.1 güncellemelerinde söz konusu güvenlik zafiyetlerini giderdi.
Apple, en kapsamlı güncellemelerinden biri olan iOS 14.5’u uzun bir sürenin ardından yayımlamıştı. Yayımlanan yeni güncelleme beraberinde pek çok özellik getirirken aynı zamanda kritik güvenlik zafiyetlerini gidermek için de önem taşıyordu.
Apple, iOS 14.5’le beraber geçtiğimiz günlerde duyurduğu, istediğiniz herhangi bir nesneyi takip etmenize yarayan AirTag için iPhone ve iPad’lere AirTag desteği sunuyor. Ayrıca Apple, takip şeffaflığı, yeni emojiler, FaceID ve Siri gibi çeşitli konularda yeni özelliklerini devreye sokuyor.
Ancak bunların yanında söz konusu güncelleme, 50 güvenlik zafiyetini gidermeyi hedefliyor.
GÜNCELLEME BİR AN ÖNCE YÜKLENMELİ
Bahsedilen 50 güvenlik zafiyeti arasında son derece kritik olan CVE-2021-30661 hata kodlu açık, WebKit Deposundaki bir hatadan kaynaklanıyor. Siber saldırganlar tarafından ‘aktif olarak istismar edilmiş olabilir’ denilen açık iPhone’larda RCE saldırılarına yol açıyor.
Güncelleştirme boyutu her ne kadar bir miktar zamanınızı alacak kadar büyük olsa da güvenlik araştırmacıları bir an evvel güncellemeyi yüklemenizi öneriyor.
