Apple ve Google, aralık ayında çok sayıda yama yayınladı. Yazılım şirketleri Atlassian ve SAP, aralık ayı boyunca birçok kritik hatayı giderdi. İşte aralık ayı boyunca Apple ve Google’ın düzelttikleri hatalar...
APPLE İOS
Aralık ayı ortasında Apple, Journal uygulaması gibi özelliklerin yanı sıra 12 güvenlik yamasını içeren önemli bir nokta yükseltmesi olan iOS 17.2'yi yayınladı. iOS 17.2'de düzeltilen kusurlar arasında, WebKit tarayıcı motorunda bir saldırganın kod yürütmesine izin verebilecek bir sorun olan CVE-2023-42890 da yer alıyor.
Apple'ın destek sayfasında paylaşılan bilgilere göre, iPhone'un çekirdeğindeki CVE-2023-4291 olarak izlenen bir başka hata, bir uygulamanın güvenli sanal alanından çıkmasına neden olabilir. Bu arada, ImageIO'daki CVE-2023-42898 ve CVE-2023-42899 numaralı iki güvenlik açığı kod yürütülmesine yol açabilir.
ZDNET ve 9to5Mac tarafından yapılan testlere göre, iOS 17.2 güncellemesi Flipper Zero adlı bir sızma testi cihazı kullanılarak yapılan bir Bluetooth saldırısını önlemek için bir mekanizma da devreye soktu. Bu can sıkıcı hizmet reddi siber saldırısı, iPhone'da bir dizi pop-up'ın belirmesine ve sonunda cihazın kilitlenmesine neden olabiliyordu.
Apple, ayrıca iOS 16.7.3, Safari 17.2, macOS Sonoma 14.2, macOS Ventura 13.6.3, macOS Monterey 12.7.2, tvOS 17.2 ve watchOS 10.2 sürümlerini de yayınladı.
Apple, iOS 17.2'yi yayınladıktan sadece bir hafta sonra, macOS Sonoma 14.2.1'in yanı sıra eski cihazlar için iOS 17.2.1 ve iOS 16.7.4'ü yayınladı. Sürpriz iPhone güncellemesi belirtilmemiş hata ve güvenlik düzeltmeleri içerirken, macOS yaması CVE-2023-42940 olarak izlenen tek bir kusuru düzeltiyor.
GOOGLE ANDROİD
Google Android Aralık Güvenlik Bülteni, yaklaşık 100 güvenlik sorununu düzelten oldukça ağır bir bülten oldu. Güncelleme, Framework'teki iki kritik sorun için yamalar içeriyor; bunlardan en ciddisi, ek ayrıcalıklara gerek kalmadan ayrıcalığın uzaktan yükseltilmesine yol açabilir. Google, istismar için kullanıcı etkileşimine gerek olmadığını söyledi.
CVE-2023-40088 Sistemde uzaktan kod yürütülmesine yol açabilecek kritik bir kusurken, CVE-2023-40078 yüksek etkiye sahip olarak derecelendirilen bir ayrıcalık yükseltme hatası olduğu belirtildi.
Google, ayrıca akıllı cihazı WearOS platformu için de bir güncelleme yayınlayarak, bir ayrıcalık yükseltme hatası olan CVE-2023-40094'ü düzeltti. Pixel Güvenlik Bülteni bu yazının yazıldığı sırada henüz yayınlanmamıştı.
GOOGLE CHROME
Google, Chrome tarayıcısı için acil bir düzeltme ile aralık ayı güncellemelerini sonlandırdı. 2024'te Chrome'u etkileyen 8’inci sıfır gün güvenlik açığı olan CVE-2023-7024, açık kaynaklı WebRTC bileşenindeki bir yığın arabellek taşması sorunu oldu. Tarayıcı üreticisi bir danışmanlık notunda, Google'ın CVE-2023-7024 için bir istismarın vahşi doğada var olduğunun farkında olduğunu paylaştı.
Bu, aralık ayında Google tarafından yayınlanan ilk düzeltme değildi. Yazılım devi, ayrıca ay ortasında 9 güvenlik sorununu gidermek için bir Chrome yaması yayınladı. Dış araştırmacılar tarafından bildirilen kusurlardan 5’i, V8'deki bir tür karışıklığı kusuru olan CVE-2023-6702 ve dört use-after-free hatası dahil olmak üzere yüksek ciddiyet derecesine sahip olarak derecelendirildi.
