Apple, 3 kritik güvenlik açığını iOS 14.4 ile kapattı

Dün akşam Apple tarafından yayınlanan iOS 14.4, iPadOS 14.4 ve tvOS 14.4 güncellemeleri ile üç kritik güvenlik açığı kapatıldı. Konu güvenlik zafiyeti ve Apple olduğunda fazla endişelenmeye gerek olmasa da bu sefer durum farklı olabilir. Zero-Day olarak da adlandırılan bu açık, kötü amaçlı kişilerin Apple cihazlarını uzaktan kontrol edebilmelerini sağlıyor.

Yayınlanan güncellemeler ile açıklar kapatılsa da Apple tarafından konuyla ilgili detaylı bir açıklama yapılmadı.

Apple tarafından kapatılan 3 güvenlik açığı uzaktan kontrol sağlıyor

İsimsiz bir araştırmacı tarafından bildirilen Zero-Day açıkları (CVE-2021-1782 – CVE-2021-1870 – CVE-2021-1871) saldırganların Apple cihazlarındaki yetkilerinin artmasına ve cihaz üzerinde uzaktan kod yürütülmesine imkan tanıyor. Apple tarafından konuyla ilgili açıklama yapılsa da saldırının ne kadar yaygın olduğuna veya saldırıdan etkilenen aktif kullanıcı sayısına dair herhangi bir veri paylaşılmadı.

Çekirdekte meydana gelen açık (CVE-2021-1782), kötü amaçlı bir uygulamanın cihaz üzerindeki ayrıcalıklarının artmasını sağlıyor. Webkit tarayıcısında mantık sorunu olarak adlandırılan diğer iki açık (CVE-2021-1870 – CVE-2021-1871) ise saldırganın Safari içerisinde kod yürütmesine izin veriyor.

Zero-Day güvenlik açığı, dün verilen güncellemeler ile Apple tarafından kapatıldı. Ancak oluşan güvenlik açığının, yamalar geniş çapta uygulanana kadar kamuoyuna açıklanması pek mümkün değil. Henüz kesin bir bilgi olmasa da oluşan güvenlik zafiyeti, zincirleme reaksiyona neden olmuş olabilir.

Saldırı, güvenliği ihlal edilmiş bir internet sitesine girilmesi üzerine gerçekleşiyor. Bu internet sitesine giren kullanıcı, cihazına kötü amaçlı bir kodun girmesine engel olamıyor ve saldırgan kontrolü ele alıyor.

Bu tarz bir saldırı, daha önce Al Jazeera gazetecilerini hedef almıştı. Bu açık iOS 13.5.1 ile kapatılsa da sorunun tekrardan gündeme gelmesi, akıllarda soru işaretlerinin oluşmasına neden oldu.

Kaynak: Shiftdelete