Apple, WebKit tarayıcı motorundaki tehlikeli güvenlik açıklarını kapatmak için Çarşamba akşamı tüm işletim sistemlerini güncelledi. Bunlar Google'ın Tehdit Analiz Grubu'ndan (TAG) Clément Lecigne ve Benoît Sevens tarafından keşfedildi. Apple'a göre, hataların halihazırda belirtilmemiş hedeflere karşı aktif olarak kullanıldığına dair raporlar var, dolayısıyla istismarlar zaten mevcut. Sonuç olarak, hızlı bir şekilde yükseltme yapmalısınız.
Duyuru
Hangi güncellemeler mevcut?
Bu iki boşluk, iOS 18.1.1 ve iPadOS 18.1.1, macOS 15.1.1 ve VisionOS 2.1.1 güncellemeleriyle doldurulacak. Apple ayrıca iOS 17 ve iPadOS 17 kullanıcılarına da düzeltmeler sağlıyor; bunlar yeni iOS 17.7.2 ve iPadOS 17.7.2 sürümlerindedir. macOS 13 ve 14 (Ventura ve Sonoma) kullanıcılarının işletim sistemlerini güncellemeleri gerekmiyor, bunlar için Safari 18.1.1'e güncelleme yapmak yeterli; Her zamanki gibi tüm güncellemeler sistem ayarları aracılığıyla başlatılır.
Düzeltilen hataların CVE kimlikleri 2024-44308 ve 2024-44309'dur (WebKit bugzilla: 283063 ve 283095). İlk hata JavaScriptCore'dadır ve bir web sitesini ziyaret ettiğinizde rastgele kod yürütülmesine yol açabilir. Apple bu sorunu “geliştirilmiş kontrollerle” çözüyor. İkinci kusur ayrıca güvenliği ihlal edilmiş web siteleri aracılığıyla siteler arası komut dosyası çalıştırma saldırılarına da izin verir. Apple'ın çözdüğü bir çerez yönetimi sorunu vardı.
İstismarla ilgili henüz başka ayrıntı yok
Her iki hatadan da birlikte yararlanılmış olabilir; tam olarak nasıl olduğu henüz belli değil. Apple'a göre şu ana kadar yalnızca Intel tabanlı Mac sistemleri saldırıya uğradı ancak güvenlik açığı Apple Silicon'u da etkiliyor. Gelecekte Google'ın TAG'ının daha fazla ayrıntı sağlayacağı umulmaktadır; güvenlik ekibinin resmi blogunda henüz yeni bir giriş yapılmamıştır.
Apple'ın kendisi bu tür istismarlarla ilgili kendi ayrıntılarını nadiren vererek bunları keşfedenlere bırakıyor. Bu, kötü amaçlı yazılımdan koruma ürünü üreticileri için kötü bir durumdur çünkü başlangıçta olası bulaşmaları tarayamazlar. Google'ın TAG'ı geçmişte Apple'ın sistemlerinde çok sayıda kusur keşfetmişti ve aynı zamanda basın ve insan hakları savunucularıyla da işbirliği yapıyor.
(bsc)
Duyuru
Hangi güncellemeler mevcut?
Bu iki boşluk, iOS 18.1.1 ve iPadOS 18.1.1, macOS 15.1.1 ve VisionOS 2.1.1 güncellemeleriyle doldurulacak. Apple ayrıca iOS 17 ve iPadOS 17 kullanıcılarına da düzeltmeler sağlıyor; bunlar yeni iOS 17.7.2 ve iPadOS 17.7.2 sürümlerindedir. macOS 13 ve 14 (Ventura ve Sonoma) kullanıcılarının işletim sistemlerini güncellemeleri gerekmiyor, bunlar için Safari 18.1.1'e güncelleme yapmak yeterli; Her zamanki gibi tüm güncellemeler sistem ayarları aracılığıyla başlatılır.
Düzeltilen hataların CVE kimlikleri 2024-44308 ve 2024-44309'dur (WebKit bugzilla: 283063 ve 283095). İlk hata JavaScriptCore'dadır ve bir web sitesini ziyaret ettiğinizde rastgele kod yürütülmesine yol açabilir. Apple bu sorunu “geliştirilmiş kontrollerle” çözüyor. İkinci kusur ayrıca güvenliği ihlal edilmiş web siteleri aracılığıyla siteler arası komut dosyası çalıştırma saldırılarına da izin verir. Apple'ın çözdüğü bir çerez yönetimi sorunu vardı.
İstismarla ilgili henüz başka ayrıntı yok
Her iki hatadan da birlikte yararlanılmış olabilir; tam olarak nasıl olduğu henüz belli değil. Apple'a göre şu ana kadar yalnızca Intel tabanlı Mac sistemleri saldırıya uğradı ancak güvenlik açığı Apple Silicon'u da etkiliyor. Gelecekte Google'ın TAG'ının daha fazla ayrıntı sağlayacağı umulmaktadır; güvenlik ekibinin resmi blogunda henüz yeni bir giriş yapılmamıştır.
Apple'ın kendisi bu tür istismarlarla ilgili kendi ayrıntılarını nadiren vererek bunları keşfedenlere bırakıyor. Bu, kötü amaçlı yazılımdan koruma ürünü üreticileri için kötü bir durumdur çünkü başlangıçta olası bulaşmaları tarayamazlar. Google'ın TAG'ı geçmişte Apple'ın sistemlerinde çok sayıda kusur keşfetmişti ve aynı zamanda basın ve insan hakları savunucularıyla da işbirliği yapıyor.
(bsc)