Güncelleme zamanı: Apple, bilgisayar korsanlarının iPhone'lara, iPad'lere ve macOS cihazlarına saldırmak için aktif olarak yararlanabileceği bir çift kusuru düzeltiyor.
Şirket, Safari'nin tarayıcı motoru WebKit'i etkileyen tehdide karşı bugün güvenlik güncellemeleri yayınladı.
Apple kusurları, devlet destekli bilgisayar korsanlığı gruplarına ve ticari gözetim şirketlerine karşı savunma yapan bir ekip olan şirketin Tehdit Analiz Grubu'nda çalışan Google güvenlik araştırmacısı Clément Lecigne aracılığıyla öğrendi. (Günler önce Lecigne, Google'ın Chrome tarayıcısında yine yamalı olan ayrı bir sıfır gün güvenlik açığı bulmuştu .)
Apple saldırıyla ilgili ayrıntıları yayınlamadı. Ancak güvenlik açıkları, kötü amaçlı web içeriğini işlerken tetiklenebilir. Bu, bilgisayar korsanlarının kurbanlara bubi tuzaklı web sayfaları göndererek, belki de bir kimlik avı mesajı veya web sitesi aracılığıyla kusurları kötüye kullandıklarını gösteriyor.
İlk kusur olan CVE-2023-42916 , Webkit motorunu belleği normal sınırların dışında okuyacak şekilde manipüle edebilir ve bu da yazılımın hassas bilgileri ifşa etmesine neden olabilir. Bu arada, ikinci kusur olan CVE-2023-42917 , WebKit'i hileli bilgisayar kodu çalıştırmak üzere manipüle etmek için kötüye kullanılabilecek bir bellek bozulması sorununu içeriyor. Dolayısıyla bu güvenlik açığının bir cihaza gizlice kötü amaçlı yazılım indirmek için kullanılabileceği anlaşılıyor .
Bilgisayar korsanlarının iPhone'ları ele geçirmesine yardımcı olmak için her iki kusurun da birlikte kullanılması da mümkündür. Apple, güvenlik açıklarının 10 Ekim'de yayımlanan iOS 16 .7.1'den önceki iOS sürümlerine karşı kullanılmış olabileceğini belirtiyor .