Haberler

Apple, iPhone’a Ait 3 Sıfır Gün Zafiyetini Daha Yamadı

Sıfır gün zafiyetlerine yönelik yamalar iOS 14.4 güncellemesi ile birlikte sunuldu. İşte detaylar…

Bilgi Güvende

tarafından

31 Ocak 2021

tarihinde yayımlandı

Başlarken
Zero-day (sıfır gün) açığı nedir?
Bir sistem veya yazılımdaki güvenlik açığı yazılım geliştiriciler tarafından değil de siber saldırganlar tarafından ortaya çıkarıldığında sıfır gün açığı meydana gelir.

Apple, hafta içinde yayınladığı güvenlik güncellemeleri ile iOS mobil işletim sisteminde tespit edilen üç adet sıfır gün (zero day) zafiyetini yamadı. Bir güvenlik uzmanı tarafından tespit edilen sıfır gün zafiyetlerine yönelik yamalar iOS 14.4 güncellemesinin bir parçası olarak sunuldu.

İlk sıfır gün zafiyeti iOS işletim sisteminin çekirdek program yazılımda (CVE-2921-1782), diğer ikisi ise WebKit tarayıcı motorunda (CVE-2021-1870 ve CVE-2021-1871) tespit edildi.

iOS işletim sistemi yazılımı zafiyeti, siber saldırganların saldırı kodlarına sistem içinde imtiyaz sunmalarını sağlayan bir açık olarak tanımlandı. İki WebKit sıfır gün zafiyeti ise siber saldırganların kötü amaçlı kodlarını kullanıcıların Safari tarayıcılarında uzaktan kontrol edebilme imkanı sağlayan unsurlar olarak ifade edildi.

Güvenlik uzmanları, her üç güvenlik zafiyetinin kullanıcıları tuzağa düşürmeyi hedefleyen saldırıların bir parçası olarak görüyor. Siber saldırganlar WebKit zafiyetinden yararlanarak kendi kodlarının sistem seviyesinde imtiyazlar elde etmesini sağlayabiliyor, böylece işletim sistemine müdahale edilebiliyor.

Siber güvenlik medyası, yaması yapılan güvenlik zafiyetlerinin kullanıldığı saldırıların kamuoyuna açıklanmadğını, bu tutumun Apple’ın sıfır gün zafiyetleri karşısında yakın dönemde sergilediği davranışı temsil ettiğini belirtiyor. Apple, konu hakkında açıklama yapmayı da reddetti.

Apple, en son yamanan üç güvenlik zafiyetinin öncesinde bir diğer üç sıfır gün zafiyeti yamasını da Kasım 2020’de yapmıştı. Bu güvenlik zafiyetleri Google güvenlik ekipleri tarafından tespit edilmişti.

Apple ile bağlantılı sıfır gün saldırıları, Aralık 2020’de yayınlanan ve geçtiğimiz yıl boyunca Al Jazeera gazetecilerini hedef alan saldırıların sonrasında ortaya çıkarılan zafiyetleri içeren raporda konu edilmişti. Raporda yer alan güvenlik zafiyetleri, Apple’ın iOS 14 güncellemesinde farkında olmadan yama edilmişti.