Apple, 3 Yeni Zero-Day Zafiyeti İçin Acil Güncelleme Yayınladı

Apple, yeni keşfedilen üç yeni zero-day açığını kapatmak amacıyla acil güncellemeleri yayınladı.

Bu güvenlik açıklarından ikisi kritik bileşenlerde bulundu: WebKit tarayıcı motorunda (CVE-2023-41993) ve güvenlik framework (CVE-2023-41991) keşfedildi. Bu açıklar, saldırganların kötü amaçlı uygulamalar aracılığıyla imza doğrulamasını atlatmasına ve özel olarak oluşturulmuş web sayfaları aracılığıyla RCE yapmasına izin veriyor.

Üçüncü zero-day açığı, kernel frameworkunda bulundu. Buframework kernel uzantıları ve kernel üzerinde yerleşik aygıt sürücüleri için API’lar ve destek sağlıyor. Saldırganlar bu açığı (CVE-2023-41992) ayrıcalıklarını yükseltmek için kullanabiliyor.

Apple, bu zero-day zafiyetlerini kapatmak için güncellemeler yayınladı

Güncellemeler, sertifika doğrulama sorunlarına çözüm getiriyor ve güvenlik denetimlerini iyileştiriyor. Apple, bu zafiyetlerin iOS 16.7’den önceki sürümlerde aktif olarak kullanılmış olabileceğini belirtiyor.

Etkilenen ürünler aşağıdaki gibi


Apple, bu zafiyetlerin public ortamda nasıl kullanıldığına dair detaylı bilgi vermemiş olsa da, Citizen Lab ve Google Tehdit Analizi Grubu araştırmacıları zero-day zafiyetlerinin casus yazılım saldırılarında kullanıldığını açıkladı.

Kaynak: bleepingcomputer.com

Exit mobile version