Apple, son iki iOS güncellemesinin başlangıçta düşünülenden daha fazla güvenlik açığını giderdiğini kabul etti. Güvenlik uzmanlarının belirttiği gibi, bu hem iOS 16.3’ü hem de iOS 16.3.1’i etkiler. Genel olarak, elma ilgili iki destek belgesindeki bilgilerle birlikte dört yeni CVE kimliği katma. Bu, ilgili “talimat broşürünün” güvenlikle ilgili bilgilerle basit ve sessiz bir şekilde güncellenmesiyle gerçekleştirildi.
Her zaman tüm boşluklar iletilmez
Birkaç yıldır Apple, yeni işletim sistemleri kullanıma sunulduğunda artık yamalı tüm güvenlik açıklarını hemen bildirmeme eğilimindeydi. Daha sonra krediler, daha fazla ayrıntı olmadan belgenin altına yerleştirilir – veya boşluklar başlangıçta hiç listelenmez, ancak daha sonra sunulur. (En azından eklenme tarihinin notu ile birlikte.)
En kötü durumda, bu, kullanıcıların ilgili güncellemenin önemini fark etmemesine yol açar. Şimdiye kadar, grubun bunu neden yaptığını açıklamadı. Bunun açıklardan yararlanma geliştirmeyi kolaylaştıracağından korkulabilir, ancak bu aslında güvenlik uzmanları arasında (çok) kötü bir argüman olarak kabul edilir.
Ayrıntılı olarak taze böcekler
iOS 16.3 ve 16.3.1’de, şu anda sunulan boşluklar ciddi sorunlardır. iOS 16.3.1’de, değiştirilmiş bir sertifika aygıtın felç olmasına (Hizmet Reddi, DoS) neden olabilir. Hata, Google’ın Chrome ekibi tarafından Apple’a bildirildi ve iPadOS’u da etkiliyor. iOS 16.3’te (iPadOS 16.3 dahil), bir kullanıcı rasgele dosyaları kök olarak okuyabiliyordu (Crash Reporter’daki bir yarış koşulu aracılığıyla) ve Foundation, bir uygulamanın, birden çok bellek hatası aracılığıyla iki farklı şekilde, sanal alanın ötesinde rasgele kod çalıştırmasına izin verdi.
Apple, daha sonra gönderilen hatalar için herhangi bir istismar olup olmadığını söylemez – en azından herhangi bir aktif istismar olduğuna dair bir gösterge yoktur. iOS 16.3.1 ve iPadOS 16.3.1’de (ve diğer işletim sistemlerinde), WebKit’te böyle bir boşluk vardı, bu nedenle Apple, bir Safari güncellemesi aracılığıyla eski sistemler için bile nispeten hızlı bir güncelleme yaptı. Yeni iletilen hatalar, iOS 16.3.1 güncellemesinin olabildiğince çabuk yüklenmesi gerektiğini gösteriyor.
(bsc)
Haberin Sonu
Her zaman tüm boşluklar iletilmez
Birkaç yıldır Apple, yeni işletim sistemleri kullanıma sunulduğunda artık yamalı tüm güvenlik açıklarını hemen bildirmeme eğilimindeydi. Daha sonra krediler, daha fazla ayrıntı olmadan belgenin altına yerleştirilir – veya boşluklar başlangıçta hiç listelenmez, ancak daha sonra sunulur. (En azından eklenme tarihinin notu ile birlikte.)
En kötü durumda, bu, kullanıcıların ilgili güncellemenin önemini fark etmemesine yol açar. Şimdiye kadar, grubun bunu neden yaptığını açıklamadı. Bunun açıklardan yararlanma geliştirmeyi kolaylaştıracağından korkulabilir, ancak bu aslında güvenlik uzmanları arasında (çok) kötü bir argüman olarak kabul edilir.
Ayrıntılı olarak taze böcekler
iOS 16.3 ve 16.3.1’de, şu anda sunulan boşluklar ciddi sorunlardır. iOS 16.3.1’de, değiştirilmiş bir sertifika aygıtın felç olmasına (Hizmet Reddi, DoS) neden olabilir. Hata, Google’ın Chrome ekibi tarafından Apple’a bildirildi ve iPadOS’u da etkiliyor. iOS 16.3’te (iPadOS 16.3 dahil), bir kullanıcı rasgele dosyaları kök olarak okuyabiliyordu (Crash Reporter’daki bir yarış koşulu aracılığıyla) ve Foundation, bir uygulamanın, birden çok bellek hatası aracılığıyla iki farklı şekilde, sanal alanın ötesinde rasgele kod çalıştırmasına izin verdi.
Apple, daha sonra gönderilen hatalar için herhangi bir istismar olup olmadığını söylemez – en azından herhangi bir aktif istismar olduğuna dair bir gösterge yoktur. iOS 16.3.1 ve iPadOS 16.3.1’de (ve diğer işletim sistemlerinde), WebKit’te böyle bir boşluk vardı, bu nedenle Apple, bir Safari güncellemesi aracılığıyla eski sistemler için bile nispeten hızlı bir güncelleme yaptı. Yeni iletilen hatalar, iOS 16.3.1 güncellemesinin olabildiğince çabuk yüklenmesi gerektiğini gösteriyor.
(bsc)
Haberin Sonu