Yeni iOS yaması ciddi istismarı durduruyor

iPhone, iPad, MacBook veya Apple Watch’unuz varsa cihazınızı en kısa sürede güncellemek isteyeceksiniz. Genellikle güncellemelerden kaçınıyor olsanız bile, iki ciddi hatayı düzelttiği için bu yama kaçırmamanız gereken bir yamadır.

Apple, CVE-2023-41064 ve CVE-2023-41061 sıfır gün güvenlik açıklarını gideren yeni bir güncelleme yayınladı. Ars Teknik. Sıfır gün güvenlik açıkları, güvenlik araştırmacıları veya yazılım geliştiricileri farkına varmadan önce keşfedilen güvenlik kusurlarıdır ve onları diğer tehditlere göre daha yüksek risk haline getirir.

Güncellemeler arasında iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 ve watchOS 9.6.2 yer alıyor. Ne yazık ki, eski işletim sistemi sürümleri için herhangi bir yama yayınlanmamış gibi görünüyor.

Daha çok BLASTPASS olarak bilinen CVE-2023-41064 ve CVE-2023-41061, resimlerin ve eklerin cihazınıza kötü amaçlı yazılım yüklemesine olanak tanır. Örneğin, WhatsApp, iMessage veya Safari’den kötü amaçlı bir görsel yüklemek, kötü amaçlı yazılımın yüklenmesini tetikleyebilir. Bu siber saldırı tekniği steganografi veya bir dosyanın başka bir dosyanın içinde saklanması olarak bilinir. Bir görselle birlikte gelen gizli verilere kötü amaçlı kod yerleştirerek çalışır.

Güvenlik açıkları ilk olarak Toronto Üniversitesi Munk Küresel İlişkiler ve Kamu Politikası Okulu’ndaki Vatandaş Laboratuvarı tarafından rapor edildi. Citizen Lab, BLASTPASS’ın “NSO Group’un Pegasus paralı asker casus yazılımını dağıtmak için kullanıldığını” söylüyor.

Apple, 12 Eylül’de “Wonderlust” etkinliğini düzenlediği için bu muhtemelen iPhone 15 piyasaya sürülmeden önceki son güncelleme olacak. Apple muhtemelen bu açılış konuşmasında iOS 17’yi duyuracak.