Apple, bugünkü iOS 14.2 sürümü ile üç sıfır-gün açığını yamadı.
Apple, kullanıcılarına yönelik saldırılarda suistimal edildiği keşfedilen üç sıfır-gün güvenlik açığını yamalamak için bugün iOS için güvenlik güncellemeleri yayınladı.
Google’ın tehdit analizi grubu direktörü Shane Huntley’e göre, iOS’in sıfır-gün güvenlik açığı, Google’ın iki hafta önce keşfettiği üç Chrome sıfır-gün ve bir Microsoft sıfır-gün açığı ile ilgili.
Tıpkı daha önce ki üç Chrome açığı ve bir Microsoft açığında olduğu gibi, Google saldırganlar veya hedefleri hakkında bilgi paylaşmadı.
Sıfır-günlerin saldırılarının seçilen hedeflere karşı mı yoksa toplu olarak mı kullanıldığı bilinmemekle birlikte, iOS kullanıcılarının güvenliklerini sağlamak için iOS 14.2’ye güncellemelerini yapmaları öneriliyor.
Bu Güncellemeleri yapmak için: iOS cihazlarda güncelleme Ayarlar> Genel> Yazılım Güncelleme>İndir>Yükle yolu izlenebilir.
Apple’ın yazılımlarına yönelik “duvarlı bahçe” yaklaşımıyla geliştirilen iOS platformunun, kırılmasının nispeten daha zor olduğu biliniyor, ancak bu zamana kadar yaşananlar bunun imkansız olmadığını kanıtlamış oldu. Mobil kullanıcılar telefonları ve işletim sistemleri farketmeksizin, tıkladıkları bağlantılar konusunda daha dikkatli olmalı ve güvenilir kaynaklardan geldiklerine emin olmalıdır.
Aynı güvenlik hataları iPadOS 14.2 ve watchOS 5.3.8, 6.2.9 ve 7.1’de de düzeltildi ve ayrıca eski nesil iPhone’lar için bugün piyasaya sürülen iOS 12.4.9 aracılığıyla de gerekli güvenlik düzenlemeleri yapıldı.
Saldırıları keşfedip Apple’a bildiren Google Project Zero ekibinin lideri Ben Hawkes’a göre, iOS’un üç sıfır-gün açığı şöyle:
- CVE-2020-27930 – iOS FontParser bileşeninde, saldırganların iOS aygıtlarında uzaktan kod çalıştırmasına olanak tanıyan bir uzaktan kod yürütme sorunu.
- CVE-2020-27932 – iOS çekirdeğindeki, saldırganların çekirdek düzeyinde ayrıcalıklarla kötü amaçlı kod çalıştırmasına olanak tanıyan bir ayrıcalık yükseltme güvenlik açığı.
- CVE-2020-27950 – iOS çekirdeğindeki saldırganların bir iOS cihazının çekirdek belleğinden içerik almasına olanak tanıyan bir bellek sızıntısı.
Üç hatanın da, saldırganların iPhone cihazlarını uzaktan ele geçirmesine olanak tanıyan bir istismar zincirinin parçası olarak birlikte kullanıldığına inanılıyor.