Şirketin güvenlik mühendisleri, Apple'ın iOS ve MacOS güvenlik teknolojilerinin arkasındaki teknik ayrıntıları paylaşmak için başlattığı yeni bir web sitesinde, Apple'ın bellek ayırıcıyı güçlendirmeye yönelik çalışmasının, saldırganların iOS ve Mac aygıtlarındaki belirli yazılım güvenlik açıklarından yararlanmasını zorlaştırdığını yazdı.
Yeni girişim, Apple Güvenlik Araştırması, ayrıca güvenlik araştırmacılarının sorunları Apple'a bildirmesine, gönderilen raporlar için gerçek zamanlı durum güncellemeleri almasına, sorunu araştıran Apple mühendisleriyle güvenli bir şekilde iletişim kurmasına yardımcı olacak araçlar sunar ve sorun hakkında bilgi sağlar. Apple Güvenlik Ödül programı. Yeni güvenlik merkezinin arkasındaki amaç, Apple mühendislerinin güvenlik sorunlarına nasıl yaklaştıklarını araştırma topluluğuyla paylaşmak ve ayrıca araştırmacı katkılarını ve geri bildirimlerini davet etmektir.
Bellek güvenliği, özellikle bellek güvenliği ihlalleri önemli bir odak noktası olduğundan, kilit bir odak alanıdır. en çok kullanılan yazılım güvenlik açıkları sınıfı. Mühendisler, Apple platformlarında, bellek güvenliğini artırmanın "güvenlik açıklarını bulma ve düzeltme, güvenli dillerle geliştirme ve hafifletme önlemlerini geniş ölçekte dağıtmayı" içerdiğini yazdı. XNU bellek güvenliği.
XNU, iPhone'ların, iPad'lerin ve Mac'lerin çekirdeğindeki çekirdektir.
Araştırmacılara göre, iPhone, iPad ve Mac'te çalışan kodun çoğu "güvenli olmayan bellek" programlama dilleri kullanılarak yazılmıştı, bu da bellek güvenliği ihlallerini önlemedikleri ve geliştiricilerin kod yazarken yanlışlıkla ve bilmeden bellek güvenlik kurallarını ihlal edebileceği anlamına geliyor. yazdı Bu sorunlar, saldırganlar tarafından yazılımı çökertmek, yetkisiz komut yürütmek ve hassas bilgileri toplamak için kullanılabilir.
Mühendisler, büyük miktarda mevcut kodu bellek için güvenli diller kullanarak yeniden yazmak mümkün değil, bu nedenle "bellek güvenliğini artırmak, sektördeki mühendislik ekipleri için önemli bir hedeftir" diye yazdı.
Apple, güçlendirilmiş bellek ayırıcının temelini attı kalloc_type tanıtıldığında iOS 14'e geri döndü heaps, veri ayırma ve sanal bellek ayırma. Apple, tanıtıldığında bölge ayırıcıya rastgele kümelenmiş tip izolasyon ekledi kalloc_type iOS 15'te. iOS 16 ve macOS Ventura'nın piyasaya sürülmesiyle, sağlamlaştırılmış ayırıcı artık XNU çekirdeğini kullanan tüm sistemlerde kullanılabilir.
Araştırmacılar, "Temel stratejimiz, çoğu bellek bozulması güvenlik açığından yararlanmayı doğası gereği güvenilmez kılan bir ayırıcı tasarlamaktır" diye yazdı. "Bu, birçok bellek güvenlik hatasının etkisini biz daha öğrenmeden sınırlıyor ve bu da tüm kullanıcılar için güvenliği artırıyor."
Apple'ın ödül programıyla ilgili güncellemesinde şirket, programın başlatılmasından bu yana geçen iki buçuk yılda güvenlik araştırmacılarına 20 milyon dolara yakın ödül verdiğini söyledi. Ürün kategorisinde ortalama ödemeler 40,000$ civarındayken şirket, yüksek etkili sorunlar için 20$'ın üzerinde 100,000 ayrı ödül ödedi. Ödül toplamak için araştırmacıların karşılaması gereken değerlendirme kriterleri Apple Security Research'te mevcuttur.
