Apple bu hafta, aktif olarak istismar edildiği bildirilen WebKit tarayıcı motorundaki sıfır gün güvenlik açığını gidermek için işletim sistemlerinde ve Safari tarayıcısında hata tespit eden güncellemeler yayınladı.
macOS 13.2.1, iOS 16.3.1, iPadOS 16.3.1 ve Safari 16.3.1 güncellemeleri şu şekilde izlenen kusuru düzeltir: CVE-2023-23529, kötü amaçlarla oluşturulmuş web içeriğinin rastgele kod yürütmesine izin verebilir. Apple tarafından, geliştirilmiş kontrollerle düzeltilen bir tür karışıklık kusuru olarak tanımlanıyor.
Sorunun bununla ilgisi vardı JsonWebToken kodu aracılığıyla belirli bir algoritma ile ilişkili olmayan asimetrik şifreleme anahtarlarını kabul eder. jwt.verify() işlev. Örneğin, DSA anahtarları, RS256 algoritması. Bu, açıkça, güvenli olmayan anahtar türleriyle imza doğrulamaya izin verdi.
Apple’ın danışma belgesi, şirketin “bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkında olduğunu” söylüyor. Anonim bir araştırmacıya hatayı bildirdiği için itibar ediyor ve iOS danışmanlığı ayrıca “Toronto Üniversitesi Munk Okulu’ndaki Citizen Lab’e yardımları için” teşekkür ediyor.
Citizen Lab, ticari casus yazılımlar kullanılarak hükümet yetkilileri tarafından istismar edilen Apple yazılımlarındaki güvenlik açıklarını belgeleme geçmişine sahiptir. NSO Group’un Pegasus’u gibi.
Apple, bu sıfır günün ticari casus yazılım müşterileri tarafından istismar edilip edilmediği hakkında yorum yapma talebine hemen yanıt vermedi. Ancak adı geçen anonim araştırmacının Citizen Lab ile ilgili olmayabileceğinden şüpheleniyoruz.
Apple’ın yamaları ayrıca diğer iki güvenlik açığını da giderir.
Pangu Lab’den Xinru Chi ve Google Project Zero’dan Ned Williamson tarafından bildirilen CVE-2023-23514, macOS, iOS ve iPad OS çekirdeğini (ve muhtemelen tvOS ve watchOS çekirdeklerini de) etkiler. Bu bir ücretsiz kullan çekirdek ayrıcalıklarıyla rasgele kod yürütülmesine izin verme potansiyeline sahip bellek hatası. Temel olarak, bir uygulama veya çalışan başka bir program, cihazı devralmak için bunu kullanabilir.
Üçüncü bir CVE, CVE-2023-23522, Alibaba Group’tan Wenchao Li ve Xiaolong Bai tarafından bildirildi. Diğerlerinden daha az ciddi olan macOS Ventura’daki bu hata, potansiyel olarak bir uygulamanın korumasız kullanıcı verilerini gözlemlemesine izin verdi.
Apple, işletim sisteminin geçici dosyaları işleme biçimini iyileştirerek Kısayollar bileşenindeki gizlilik sorununu ele aldığını belirtmenin ötesinde, düzeltmesi hakkında birkaç ayrıntı sağlar.
Bu, Apple’ın bu yıl mevcut model cihazlar için yayınladığı ilk sıfır gün düzeltmesi gibi görünüyor. Ocak ayında Apple, aktif kullanım altındaki bir WebKit kusuru için geçen yılki bir düzeltmeyi destekledi. iPhone 5’e ve iOS 12.5 çalıştıran benzer şekilde eski cihazlar.
tvOS 16.3.2 ve watchOS 9.3.1 için yamalar da yayınlandı piyasaya sürülmüş ancak Apple, bu hikaye yazıldığı sırada bunları henüz belgelememişti. ®