ABD’li teknoloji devi Apple, siber tehdit aktörlerinin aktif olarak istismar ettiği kritik bir sıfırıncı gün zafiyetini giderdi.
Apple, saldırganların iPhone’ları, iPad’leri ve Mac’leri hacklemek için vahşi doğada istismar ettiği yeni bir 0-day zafiyetine yönelik güvenlik güncellemeleri yayımladı.
Apple’ın onardığı kritik seviyedeki 0-day, siber tehdit aktörlerinin rastgele kod yürütmesine olanak sağlıyordu.
Kolay Erişim
SALDIRGANLAR SİSTEMDE RASTGELE KOD YÜRÜTÜYOR
CVE-2022-22620 kodlu ve 8,4’lük kritiklik seviyesine sahip 0-day uzak bir saldırganın savunmasız sistem güvenliğini aşmasına olanak sağlıyordu. Zafiyet, WeBkit’te HTML içeriği işlenirken ortaya çıkan use-after-free hatasından kaynaklanıyor. Uzak bir saldırgan, kurbana özel amaçlarla oluşturulmuş bir web sayfasını ziyaret etmesi için kandırabilir, use-after-free hatasını tetikleyebilir ve sistemde rastgele kod yürütebilir.
Apple, güvenlik eleştirileri sonrası AirTag ayarlarına müdahale etti
Güvenlik zafiyetinden başarılı bir şekilde yararlanılması, bir saldırganın iOS ve iPadOS işletim sistemlerinin güvenlik açığı bulunan sürümlerini çalıştıran iPhone ve iPad’lerde rastgele kod yürütmesine olanak tanıyor.
Apple’ın yaptığı açıklamadaysa, “Apple, bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir raporun farkındadır.” ifadeleri kullanıldı.
GÜNCELLEMELER ACİLEN YÜKLENMELİ
Söz konusu zafiyet birçok modeli etkilediğinden, etkilenen cihazlar arasında iPhone 6s ve üstü, iPad Pro’nun tüm modelleri, iPad Air 2 ve üstü, iPad 5. nesil ve üstü, iPad mini 4 ve üstü ve iPod touch (7. nesil), Big Sur ve macOS Monterey çalıştıran Mac’ler bulunuyor.
Apple’ın giderdiği 0-day muhtemelen yalnızca hedefli saldırılarda kullanılmış olsa da olası saldırı girişimlerini engellemek için güncellemelerin mümkün olan en kısa sürede yüklenmesi tavsiye ediliyor.
