Apple, bu ayın başlarında yeni cihazlarda yamaladığı, aktif olarak yararlanılan sıfır gün güvenlik açığını düzeltmek için iOS'ta sessizce daha fazla güncelleme yayınladı. WebKit'te bulunan güvenlik açığı, saldırganların kullanıcının cihazında uzaktan kod yürütülmesine (RCE) olanak tanıyan kötü amaçlı Web içeriği oluşturmasına olanak tanıyor.
Bir güncelleme Çarşamba günü yayınlanan iOS 12.5.6 şu modeller için geçerlidir: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 ve 6. nesil iPod touch.
Söz konusu kusur (CVE-2022-32893) Apple tarafından WebKit'te sınırların dışında yazma sorunu olarak tanımlanıyor. Yamada sınır denetimi iyileştirilerek bu sorun giderildi. Apple, hatanın aktif olarak istismar edildiğini kabul etti ve etkilenen cihazların kullanıcılarını derhal güncelleme yapmaya çağırıyor.
Apple, CVE-2022-32894 olarak takip edilen bir çekirdek kusurunun yanı sıra bazı cihazlar için güvenlik açığını zaten yamalamıştı. Ağustos ayının başlarında iOS 15.6.1'de. bu bir güncelleme iPhone 6S ve sonraki modelleri, iPad Pro (tüm modeller), iPad Air 2 ve sonraki sürümleri, iPad 5. nesil ve sonraki sürümleri, iPad mini 4 ve sonraki sürümleri ve iPod touch'ı (7. nesil) kapsıyordu.
Güvenlik savunucusu Paul Ducklin, en son yama turunun, iOS'un eski sürümlerini çalıştıran iPhone'lar için koruma ekleyerek Apple'ın tüm temellerini kapsadığını belirtti.
"Apple'ın, eski telefonların en azından bazı yüksek profilli (veya yüksek riskli veya her ikisi) kullanıcılarıyla bu şekilde ele geçirilmiş olduğunu ve özel bir önlem olarak korumayı herkes için uygulamaya karar verdiğini tahmin ediyoruz. " o yazdı bir gönderide Sophos Çıplak Güvenlik blogunda.
Ducklin, Apple'ın iOS'un her iki sürümündeki hatayı düzeltmeye yönelik ikili kapsamının, platformun iPhone'larda çalışan sürümlerindeki değişiklikten kaynaklandığını açıkladı.
Apple, iOS 13.1 ve iPadOS 13.1'i yayınlamadan önce iPhone'ların ve iPad'lerin, her iki cihaz için de iOS olarak adlandırılan aynı işletim sistemini kullandığını söyledi. Artık iOS 12.x, iPhone 6 ve önceki cihazları kapsıyor; iOS 13.1 ve sonraki sürümleri ise iPhone 6'larda ve daha sonra piyasaya sürülen cihazlarda çalışıyor.
Apple'ın bu ayın başlarında yamaladığı diğer sıfır gün kusuru CVE-2022-32894, tüm cihazın ele geçirilmesine izin verebilecek bir çekirdek güvenlik açığıydı. Ancak iOS 13 bu kusurdan etkilenmiş olsa da (ve bu nedenle önceki güncellemede bir düzeltme eki almış olsa da) Ducklin'in gözlemine göre bu durum iOS 12'yi etkilemiyor ve bu da daha eski sürümlerde "işletim sisteminin tamamen tehlikeye girmesi riskini neredeyse kesinlikle ortadan kaldırıyor". cihazlar.
WebKit: Geniş Bir Siber Saldırı Yüzeyi
WebKit, Safari'ye ve iOS'ta çalışan diğer tüm üçüncü taraf tarayıcılara güç veren tarayıcı motorudur. Bir tehdit aktörü, CVE-2022-32893'ü kullanarak bir web sitesine kötü amaçlı içerik yerleştirebilir. Ardından, birisi siteyi etkilenen bir iPhone'dan ziyaret ederse, aktör kendi cihazında uzaktan kötü amaçlı yazılım çalıştırabilir.
WebKit, iPhone'ların ve diğer Apple cihazlarının ötesinde, onu kullanan diğer tarayıcılara (Firefox, Edge ve Chrome dahil) yayıldığı ve potansiyel olarak milyonlarca kullanıcıyı risk altına soktuğu için kullanıcıları güvenlik açıklarına maruz bırakma konusunda Apple için genel olarak kalıcı bir baş belası oldu. belirli bir hata.
Ducklin, "WebKit hatalarının genel anlamda Safari'nin altındaki yazılım katmanında mevcut olduğunu, dolayısıyla Apple'ın kendi Safari tarayıcısının bu güvenlik açığı riski taşıyan tek uygulama olmadığını unutmayın" dedi.
Ayrıca, genel göz atma dışındaki amaçlarla iOS'ta web içeriğini görüntüleyen herhangi bir uygulama (örneğin, yardım sayfaları, "Hakkında" Ekranda, hatta yerleşik bir "mini tarayıcıda" WebKit'in kullanıldığını ekledi.
Ducklin, "Başka bir deyişle, yalnızca 'Safari'den kaçınmak' ve üçüncü taraf bir tarayıcıya bağlı kalmak [WebKit hataları için] uygun bir geçici çözüm değil" diye yazdı.
Apple Saldırı Altında
Kullanıcılar ve profesyoneller geleneksel olarak Apple'ın Mac ve iOS platformlarının Microsoft Windows'tan daha güvenli olduğunu düşünürken (ki bu birçok nedenden dolayı genellikle doğruydu), uzmanlar gidişatın değişmeye başladığını söylüyor.
Gerçekten de, işletim sisteminin kendisini değil, her yerde bulunan Web teknolojilerini hedeflemeye daha fazla ilgi gösteren, ortaya çıkan bir tehdit ortamı hedefi genişletti göre Apple'ın arkasında bir tehdit raporu Ocak ayında piyasaya sürüldü ve şirketin savunma amaçlı yama stratejisi bunu yansıtıyor.
Apple bu yıl en az dört sıfır gün kusurunu yamaladı; önceki iOS ve macOS güvenlik açıkları için iki yama da gelecek Ocak ve bir de Şubat — ikincisi WebKit'te aktif olarak yararlanılan başka bir sorunu düzeltti.
Ayrıca, geçen yıl Google'ın Project Zero araştırmacılarının tespit ettiği 12 sıfır gün tehdidinden 57'si izleniyor macOS, iOS, iPadOS ve WebKit'i etkileyen sorunlarla birlikte Apple ile ilgiliydi (%20'den fazla).
