fbpx
Back to Blog
Sıfır Gün İstismarlarının Apple Kullanıcılarına Etkisi
Category: Farkındalık Eğitimi, Güvenlik Açığı, Güvenlik Eğitimi, Hacker, Hackleme, Hedefli Oltalama, Java Güvenlik Açıkları, Siber Güvenlik, Siber Saldırı Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , Post Date: 13 March 2022

Sıfır Gün İstismarlarının Apple Kullanıcılarına Etkisi

Çarşamba günü Apple, macOS’taki ciddi güvenlik hataları için 13 düzeltme ve iOS/iPADos’taki kusurlar için 10 düzeltme yayınladığı için sıfır gün istismarları artık Apple kullanıcıları için bir sorun değil. Aldığımız habere göre düzeltmeler, biri iki sıfır gün istismarına yönelik düzenlemeleri içeriyor. Bu iki istismardan biri saldırganlar tarafından kullanılmış olabilir. Fakat Apple düzenlemeleri yayınladığından beri sıfır gün istismarlarının Apple kullanıcılarına etkisi yok denecek kadar az olacak gibi görünüyor!

Sıfır Gün İstismarlarının Apple Kullanıcılarına Etkisi Nasıl Azaldı?

Sıfır Gün İstismarlarının Apple Kullanıcılarına Etkisi

Sıfır Gün İstismarlarının Apple Kullanıcılarına Etkisi

Düzeltilen ilk sıfır gün istismarı bir bellek bozulması sorunuydu. Hackerlar bu güvenlik sorununu fark etti ve çekirdek ayrıcalıklarıyla rastgele kod yürütmek kötü amaçlı bir uygulama kullandı. Hata, özellikle IOMobileFramebuffer’ı etkiledi. Bu, geliştiricilerin cihaz belleğinin ekran görüntüsünü nasıl işlediğini kontrol etmelerini sağlayan bir çekirdek uzantısı. Başka bir deyişle geliştiricilerin çerçeve arabelleğini kontrol etmelerini sağlıyor. Bu uzantı, iOS, iPadOS ve macOS Monterey’i etkiliyor. Apple, bu sorunu gelişmiş oturum açma doğrulaması ile çözmüşe benziyor. 

Apple yetkilileri ayrıca, bu güvenlik açığının hackerlar tarafından aktif olarak sömürüldüğünü gösteren raporun farkında olduklarını da söyledi. Yeni güncellemeler iPhone 6S ve sonraki sürümlerini, iPad Pro cihazlarının tüm modellerini, iPad Air 2 ve sonraki sürümlerini, 5. nesil ve sonraki iPad sürümlerini, iPad mini 4 ve sonraki sürümlerini ve iPod touch (7. nesil) cihazları etkileyecek.

Apple, verileri açıklayan bir Apple Safari hatasını ve ikinci bir sıfır gün istismarını da düzeltildi. İkinci güvenlik açığı, yaygın olarak yayınlanan bir WebKit hatasıydı. Bu ifşa sorunu macOS, iOS ve iPadOS tarayıcılarını etkiliyordu. Araştırmacılar bu yeni hatayı geçtiğimiz haftalarda fark etti. Görünüşe göre izleme web sitesi, kullanıcının açabilecekleri diğer sekmeler hakkında bilgi edinmesine olanak tanıyordu. Bu hata, IndexDB API’sindeki çapraz kaynak ilkesini ihlal ediyordu. Hata web tarayıcıları tarafından JSON NoSQL nesne veritabanını yönetmek için kullanılan bir JavaScript API’ını içeriyordu. Apple bu hatayı da gelişmiş oturum açma doğrulamasıyla düzeltti.

Sıfır Gün İstismarlarının Apple Kullanıcılarına Etkisi Tamamen Sıfırlandı Mı?

Sıfır Gün İstismarlarının Apple Kullanıcılarına Etkisi

Sıfır Gün İstismarlarının Apple Kullanıcılarına Etkisi

Tipik olarak, bir web tarayıcısı, başka bir web sayfasındaki komut dosyalarının diğer bir web sayfasındaki verilere erişmesine yalnızca tek bir koşulda izin verir. Bunun için her iki sayfanın da aynı kaynak/arka uç sunucusuna sahip olması gerekir. Bu güvenlik politikası olmadan, hackerlar, bir web sitesine kötü amaçlı bir komut dosyası yerleştirmeyi başarırlarsa, kurbanın tarayıcıda açabileceği diğer sekmelerdeki verilere serbestçe erişebilir. Çevrimiçi bankacılık oturumları, e-postalar, sağlık verileri ve diğer hassas bilgiler de buna dahildir.

Bu iki sıfır gün istismarı kullanıcıları en çok zarar veren güvenlik açıkları arasındaydı. Çünkü bu hatalar mobil cihazlarda uzaktan kod çalıştırma (RCE) sağlama potansiyeline sahipti. Bu anlamda Pegasus mobil casus yazılımlarına veya ulus devlet casusluğu yazılımlarına benziyorlardı. Bu tür güvenlik açıklarının sıklıkla kötü niyetle insan hakları ihlallerinde kullanıldığını biliyoruz. Ne yazık ki yılın kalanında da benzer güvenlik açıklarına rastlayacağız gibi görünüyor.

İşletmelerin çoğu Apple ürünlerini kullandığından günlük operasyonlarında dikkatli olmalılar. Çalışanların faaliyetlerinden kaynaklanabilecek herhangi bir zararı önlemek için çalışanlara uygun eğitimi sağlamalıdırlar. Farkındalık Eğitimcimiz başlamak için birebir! Farkındalık Eğitimcisi modülümüz, planlama yoluyla, uzun vadeli, proaktif eğitim ve farkındalık programları oluşturmanıza da olanak tanır. Yıl boyunca, eğitim konularına eşlik edecek ipucu sayfaları, posterler ve ekran koruyucular gibi kaynaklar da sağlıyoruz. Sunduğumuz diğer ürünlere göz atmak için mutlaka buraya tıklayın!

Share this post

Back to Blog