Apple Acil iOS Güncellemelerini Yayınladı!
Apple’ın perşembe günü yayınladığı güncelleme ile aktif olarak istismar edildiği ortaya çıkan 3 kritik güvenlik zafiyeti için yamalar yayınladı.
Google güvenlik takımı Project Zero ekibi tarafından Apple’a bildirilen zafiyetler; iOS, iPadOS, macOS ve watchOS için yayınlanan güncellemelerle FontParser kütüphanesinde ve kernel’da bulunan zafiyetler uzaktan kod çalıştırma (RCE) ve kernel seviyesinde zararlı yazılım çalıştırmaya olanak tanımaktadır.
Etkilenen cihazlar iPhone5s ve sonrası, iPod touch 6. ve 7. nesil, iPad Air, iPad mini 2 ve sonrası ile Apple Watch Series 1 ve sonrasını içermektedir. Detaylı liste Apple tarafından yayınlanmıştır.
Güncellemeler iOS 12.4.9 ve 14.2, iPadOS 14.2, watchOS 5.3.9, 6.2.9 ve 7.1 sürümlerinde ve macOS Catalina 10.15.7 için ek bir güncelleme olarak mevcuttur.
Apple’ın güvenlik bültenine göre:
- CVE-2020-27930: FontParser kütüphanesinde, kötü amaçla oluşturulmuş bir fontu işlerken uzaktan kod yürütülmesine izin veren bir bellek bozulması.
- CVE-2020-27932: Kötü amaçlı bir uygulamanın kernel seviyesinde ayrıcalıklarıyla rastgele kod yürütmesine izin veren bir bellek başlatma sorunu.
- CVE-2020-27950: Kötü amaçlı bir uygulamanın kernel belleğini ifşa etmesini mümkün kılan bir tür karmaşası sorunu.
Alex Stamos tarafından Google’ın Tehdit Analizi Grubu Direktörü Shane Huntley’e yöneltilen soruya, “Son zamanlarda bildirilen diğer 0-day’ler ile benzer şekilde hedefli istismar. Herhangi bir seçim hedeflemesiyle ilgili değil.” dedi.
Açıklama, Project Zero’nun 20 Ekim’den bu yana bildirdiği sıfır gün dizisinin en sonuncusudur. İlk olarak, Freetype yazı tipi oluşturma kitaplığında Chrome 0-day (CVE-2020-15999), Windows 0-day (CVE-2020 -17087), ardından Chrome ve iki Android varyantı (CVE-2020-16009 ve CVE-2020-16010).
Windows 0-day için bir yama, bu ayın Salı Yaması kapsamında 10 Kasım’da yayınlanması bekleniyor.
0-day’lerin aynı tehdit aktörü tarafından istismar edilip edilmediği konusunda daha fazla ayrıntı beklenirken, kullanıcıların zafiyetlerle ilişkili riski azaltmak için cihazlarını en son sürümlere güncellemeleri önerilir.
Kaynak: THN