Apple, mobil ve masaüstü işletim sistemlerinde istismar edilmiş olabileceğini söylediği iki zero-day (sıfır gün) hatasını gidermek için acil durum yamaları yayınladı.
Eksiklikler, iOS ve iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1 ve watchOS 8.5.1 güncellemelerinin bir parçası olarak giderildi. Her iki güvenlik açığı da anonim olarak Apple’a bildirildi.
CVE-2022-22675 olarak izlenen sorun, AppleAVD adlı bir ses ve video kod çözme bileşeninde, bir uygulamanın çekirdek ayrıcalıklarıyla rastgele kod yürütmesine izin verebilecek bir sınır dışı yazma güvenlik açığı olarak tanımlandı.
Apple, kusurun iyileştirilmiş sınır denetimiyle çözüldüğünü ve “bu sorunun aktif olarak istismar edilmiş olabileceğinin” farkında olduğunu da sözlerine ekledi.
macOS Monterey’in en son sürümü, CVE-2022-22675’i düzeltmenin yanı sıra, Intel Grafik Sürücüsü modülünde kötü niyetli bir aktörün çekirdek belleği okumasını sağlayabilecek bir sınır dışı okuma sorunu olan CVE-2022-22674 için düzeltme içerir.
iPhone üreticisi, bir kez daha aktif istismarın kanıtı olduğunu belirterek, daha fazla kötüye kullanımı önlemek için ek ayrıntıları saklarken, hatanın “gelişmiş giriş doğrulaması ile ele alındığını” belirtti.
En son güncellemeler, Apple tarafından yıl başından bu yana yamalanan aktif olarak yararlanılan sıfır günlerin toplam sayısını dörde getiriyor ve buna kötü niyetli bir web sitesi tarafından kullanıcıların çevrimiçi etkinliklerini ve web tarayıcısındaki kimliklerini izlemek için silah olarak kullanılabilecek olan IndexedDB API’sindeki (CVE-2022-22594) kamuya açıklanmış kusur dahil değildir.
CVE-2022-22587 (IOMobileFrameBuffer) – Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir.
CVE-2022-22620 (WebKit) – Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, rastgele kod yürütülmesine neden olabilir.
Hataların aktif olarak istismar edilmesi ışığında, Apple iPhone, iPad ve Mac kullanıcılarının, olası tehditleri azaltmak için yazılımın en son sürümlerine en kısa sürede güncelleme yapmaları önemle tavsiye edilir.
iOS ve iPad güncellemeleri iPhone 6s ve üstü, iPad Pro (tüm modeller), iPad Air 2 ve üstü, iPad 5. nesil ve üstü, iPad mini 4 ve üstü ve iPod touch (7. nesil) için kullanılabilir.
Kaynak: https://thehackernews.com/2022/03/apple-issues-patches-for-2-actively.html