Apple Sıfırıncı Gün Açıklıkları

Apple Sıfırıncı Gün Açıklıkları

Apple, aktif olarak istismar edilen iki sıfırıncı gün açığını gidermek için acil güncellemeler yayınlayarak kritik güvenlik endişelerine hızla yanıt verdi. CVE-2024-23225 ve CVE-2024-23296 olarak adlandırılan bu güvenlik açıkları, keyfi çekirdek okuma ve yazma becerilerine sahip saldırganların önemli çekirdek belleği korumalarını atlamasına olanak tanıyarak önemli riskler oluşturuyor.

Apple bu sorunları iOS 17.4, iPadOS 17.4, iOS 16.7.6 ve iPadOS 16.7.6'da uygulanan gelişmiş doğrulama mekanizmaları aracılığıyla ele almıştır.

Güncellemeler iPhone'lar, iPad'ler ve iPhone 8 ve sonrası gibi belirli modellerin yanı sıra 2. nesilden itibaren iPad Pro modelleri de dahil olmak üzere çok çeşitli Apple cihazlarına hitap etmektedir. Apple'ın bu proaktif yaklaşımı, şirketin bu yıl aktif olarak istismar edilen sıfırıncı gün güvenlik açıklarını ele aldığı üçüncü örneği işaret ediyor. Apple daha önce WebKit'te bulunan ve iOS, iPadOS, macOS, tvOS ve Safari web tarayıcısı dahil olmak üzere çeşitli Apple platformlarında keyfi kod yürütülmesine yol açabilecek bir karışıklık kusurunu ele almıştı.

Etkilenen Sistemler

-

IoC’ler

-

Çözüm Önerileri

Apple aşağıda belirtilen ürünler için iki adet sıfır gün açıklığı için güncelleme yayımladı. Apple cihazlarınızda iOS 17.4 veya iPadOS 17.4 sürümünde değilseniz aşağıda belirtilen kişisel cihazlarınızda belirtilen güncellemeleri en kısa sürede yapmanız önerilmektedir.

• iPhone XS and later,
• iPad Pro 12.9-inch 2nd generation and later,
• iPad Pro 10.5-inch,
• iPad Pro 11-inch 1st generation and later,
• iPad Air 3rd generation and later,
• iPad 6th generation and later, and
• iPad mini 5th generation and later

CVE / CWE

CVE-2024-23225 ve CVE-2024-23296

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2024-23296
• https://nvd.nist.gov/vuln/detail/CVE-2024-23225

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.