Şirket tarafından açıklanan güvenlik tavsiyelerinde, bu güvenlik açıklıklarından aktif olarak yararlanıldığına dair ortaya çıkan raporların farkında olduğunu belirtiyor. Kapatılan bu üç kritik güvenlik açığının tamamı WebKit tarayıcı motorunda ortaya çıktı ve bu güvenlik açıklıklarına verilen referanslar CVE-2023-32409, CVE-2023-28204 ve CVE-2023-32373 olarak takip ediliyor.
CVE-2023-32409: Uzaktaki bir saldırganın Web Content korumalı alanlarını aşmasına olanak tanıyan bir zaafiyettir.
CVE-2023-32373: Kötü bir amaçla oluşturulmuş Web Content’in işlenebilmesine olanak sağlıyordu ve rastgele kod yürütülebiliyordu.
CVE-2023-28204: Buda yukarıdakiler gibi Web Content ile ilgiliydi. Bu güvenlik açığı, web içeriğinin işlenmesi sırasında hassas bilgilerin ortaya çıkmasına olanak tanıyordu.
Apple, CVE-2023-28204 ve CVE-2023-32373’ün ismi açıklanmayan güvenlik araştırmacıları tarafından keşfedildiğini belirtti. Ayrıca Rapid Security Response (RSR) kapsamında iOS 16.4.1 ve macOS 13.3.1 için 1 Mayıs’ta yayınlanan güvenlik güncelleştirmeleri kapsamında bu iki CVE’nin de ele alındığını açıkladı.
Bu kapsamda şirket etkilenen cihaz ve modeller ile ilgili de bir liste yayınladı. Listeye göre:
– iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil), iPod touch (7. nesil), iPhone 8 ve sonrası modeller
– iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası modeller
– macOS Big Sur, Monterey ve Ventura çalıştıran Mac’ler
– Apple Watch Series 4 ve sonrası
– Apple TV 4K (tüm modeller) ve Apple TV HD
Şirket, belirtilen güvenlik açıklıklarına ilişkin güncelleştirmeleri yayınlarken, bunlardan aktif olarak yararlanıldığına dair ortaya çıkan raporların da farkında olduğunu belirtti. Ancak bu saldırılara ilişkin herhangi bir detay paylaşmadı.
