APPLE IOS Güncellemesindeki 51 Güvenlik Zafiyeti Kapatıldı

Best Ethical Hacking Institute ve Siber Güvenlik Enstitüsü (IICS), Apple ilk olarak iOS 12.2 başlattığı, iPhone 5 ve üstü modeller, iPad Air ve daha sonraki modellerde devam ettirdiği 51 güvenlik açıklıklarını düzeltmek için kendi işletim sistemini güncellediğini bildirdi. Belirtildiği gibi, Apple tarafından kapıtılan güvenlik açıklarının çoğu, şirketin işletim sisteminde çalıştırılabilir birden fazla uygulama ve web tarayıcısı tarafından kullanılan Web Rendering Engine Webkit’inde bulunmakta idi.

Best Ethical Hacking Institute uzmanlarına göre, WebKit’e dayalı her türlü savunmasız içeriğin açılmasıyla, kullanıcılar rasgele kod yürütme, gizli bilgi sızması, sandbox atlatma veya XSS saldırılarına maruz kalabilir. Düzeltilmiş WebKit güvenlik açıkları arasında, kötü niyetli web sitelerinin bu eylemin belirtilerini göstermeden tehlikeye girmiş iOS aygıtının mikrofonunu etkinleştirmesini sağlayan bir güvenlik sorunu olan CVE-2019-6222 listelenmiştir. Benzer bir güvenlik açığı (CVE-2019-8566), Apple ReplayKit API’sinde kötü amaçlı bir uygulamanın, kullanıcının farkına varmadan iOS aygıtının mikrofonuna erişmesine izin verebilecek şekilde düzeltildi. Şirket ayrıca WebKit’teki kritik açığı da düzeltti. Güvenlik açığı raporuna göre (CVE-2019-8503), bu kötü amaçlı bir web sitesinin başka bir site bağlamında komut dosyaları çalıştırmasına izin vererek, başka sitelerde depolanan bilgilerin çıkarılmasını ve tehlikeli bir şekilde dağıtılmasını mümkün hale getirirdi.

Best Ethical Hacking Institute uzmanlar, WebKit ile ilgili sorunların yanı sıra, Apple işletim sisteminin önceki sürümlerinde SMS mesajlarına gömülü kötü amaçlı bağlantılar yoluyla rasgele kod yürütülmesine neden olabilecek kritik bir güvenlik açığının da düzeltildiğini belirtiyor.

Bu arada Apple, iOS çekirdeğindeki toplam altı güvenlik açığını düzeltti. Bu kusurlardan biri (CVE-2019-8527), bilgisayar korsanlarının sistemleri engellemesine veya çekirdek belleğine uzaktan zarar vermesine olanak sağlıyordu. Başka bir kritik güvenlik açığı (CVE-2019-8514), diğer kötü niyetli eylemlerin yanı sıra, ayrıcalık artışı sağlamak için kullanılabilir.