Apple, Mac Bilgisayarlarından Ekran Görüntüsü Alınmasına Neden Olan Zafiyeti Giderdi

Apple, siber suçlular tarafından “fazlasıyla ifşa edilmiş olabileceği” düşünülen ve Mac ekranlarından ekran görüntüsü alınmasına neden olan gizlilik zafiyetinin yamandığını duyurdu.

Şeffaflık Rızası ve Kontrol (TCC) çerçevesi de dahil olmak üzere 73 zafiyetin yamandığı en son güncellemede, kötü amaçlı yazılımların gizlilik kontrollerini bypass etmesini sağlayan açıklar kapatıldı. Apple, TCC bypass zafiyetini macOS Big Sur 11.4 versiyonu ile yamadı.

TCC’yi etkileyen CVE-2021-30713 güvenlik zafiyeti hakkında yapılan açıklamada, “Apple bu açığın aktif olarak ifşa edilmiş olabileceğinin farkında” ifadesi kullanıldı.

TCC uygulamaların mikrofon ve web kamerasına erişim izni verilmesi halinde güvenlik ve gizlilik bağlantılı unsurlara cevap verilmesini sağlıyor. Güvenlik araştırmacıları, XCSSET adlı kötü amaçlı yazılıma yönelik analizler esnasında güvenlik zafiyetinin denetimleri bypass ederek ekran görüntüsü alabildiğini tespit etti. Sisteme yüklenmesinin ardından, XCSSET’in ek izin almasına gerek kalmadan masaüstü ekran görüntüsü alabildiği belirtildi.

Geçtiğimiz yıl yapılan analizlerde XCSSET’in enfekte edilen Xcode projeleri aracılığı ile Mac geliştiricilerini hedef aldığı ortaya çıkarılmıştı. Araştırmacılar, XCSSET’in sadece ekran görüntüsü almakla yetinmediği, diğer uygulamalar aracılığıyla ek erişim izinleri alabileceğini de not düştü.

Ortaya çıkarılan saldırı, siber suçluların kullanıcının izni olmadan ekran görüntüsü alma ve hard disk’e erişim sağlama gibi zafiyetlerden yararlanabileceğine işaret etti.

Apple aynı zamanda iPhone ve iPad’ler için iOS 14.6 güncellemesi ile 30 güvenlik güncellemesi sunulduğunu açıkladı.

Uzmanlar, CVE-2021-30715 güvenlik açığına yönelik bir rapor sunarak, kötü amaçlı bir mesajın oluşturulması ile iOS cihazlarına DDoS saldırısı düzenlenebileceğini belirtti.

Apple’ın sunduğu güncellemeler, kötü amaçlı web sayfaları tarafından ifşa edilebilecek 10 güvenlik açığını yamayan Safari 14.1.1’i de içeriyor.