Apple Pazartesi günü iOS, macOS, tvOS ve watchOS için, uzaktan jailbreak açıklarından yararlanma zincirinin yanı sıra Kernel ve Safari web tarayıcısında ilk kez Tianfu Cup'ta gösterilen bir dizi kritik sorun da dahil olmak üzere birden fazla güvenlik açığı için güvenlik yamalarıyla birlikte güncellemeler yayınladı.
CVE-2021-30955 olarak izlenen sorun, kötü amaçlı bir uygulamanın çekirdek ayrıcalıklarıyla rastgele kod yürütmesine olanak sağlamış olabilir. Apple, sorunu "gelişmiş durum işleme" ile ele aldığını söyledi. Kusur aynı zamanda macOS cihazlarını da etkilemektedir.
Kunlun Lab'ın CEO'su @mj0011sec bir tweet'te, "CVE-2021-30955 çekirdek hatası, uzak jailbreak zincirimizi oluşturmak için kullanmaya çalıştığımız ancak zamanında tamamlayamadığımız hatadır" dedi. Tianfu bilgisayar korsanlığı yarışmasında Pangu Ekibi tarafından sonunda iOS 15 çalıştıran bir iPhone13 Pro'ya girmek için bir dizi çekirdek güvenlik açığı kullanıldı ve beyaz şapka korsanlarına 330.000 dolar nakit ödül kazandıran bir başarı.
CVE-2021-30955'in yanı sıra, en son güncellemelerle toplam beş Kernel ve dört IOMobileFrameBuffer (ekran çerçeve arabelleğini yönetmek için bir çekirdek uzantısı) kusurları giderildi —
- CVE-2021-30927 ve CVE-2021-30980: Hileli bir uygulamanın çekirdek ayrıcalıklarıyla rasgele kod çalıştırmasına izin verebilecek ücretsiz bir sorundan sonra kullanım.
- CVE-2021-30937: Hileli bir uygulamanın çekirdek ayrıcalıklarıyla rasgele kod çalıştırmasına izin verebilecek bir bellek bozulması güvenlik açığı.
- CVE-2021-30949: Hileli bir uygulamanın çekirdek ayrıcalıklarıyla rastgele kod çalıştırmasına izin verebilecek bir bellek bozulması sorunu.
- CVE-2021-30993: Ayrıcalıklı bir ağ konumundaki bir saldırganın rastgele kod yürütmesine izin verebilecek bir arabellek taşması sorunu
- CVE-2021-30983: Bir arabellek taşması sorunu çekirdek ayrıcalıklarıyla rasgele kod çalıştırmak için uygulama.
- CVE-2021-30985: Hileli bir uygulamanın çekirdek ayrıcalıklarıyla rasgele kod çalıştırmasına izin verebilecek sınırların dışında yazma sorunu.
- CVE-2021-30991: Kötü amaçlı bir uygulamanın çekirdek ayrıcalıklarıyla rasgele kod çalıştırmasına izin verebilecek sınırların dışında okuma sorunu.
- CVE-2021-30996: Hileli bir uygulamanın çekirdek ayrıcalıklarıyla rastgele kod çalıştırmasına izin verebilecek bir yarış durumu.
MacOS cephesinde, Cupertino temel şirket, Wi-Fi ce (CVE-2021-3093) sistemdeki yerel bir kullanıcıyla, tam olarak kullanımı ve hatta fabrika üreticisine neden olmak için kullanılabileceği bir sorunla karşılaştı. Teknoloji devi, bildiren Pangu Lab'den Xinru Chi'ye ayrıca teşekkür etti.
Ayrıca WebKit bileşenindeki yedi güvenlik açığı da düzeltildi: CVE-2021-30934, CVE-2021-30936, CVE-2021-30951, CVE-2021-30952, CVE-2021-30953, CVE-2021-30954 ve CVE- 2021-30984t — bu, potansiyel olarak özel hazırlanmış web içeriğinin işlenmesinin rastgele kod yürütülmesine yol açabileceği bir senaryoya neden olabilir.
Ek olarak Apple, iOS'taki Notes ve Password Manager uygulamalarını etkileyen ve bir iOS cihazına fiziksel erişimi olan bir kişinin kilit ekranından kişilere erişmesine ve herhangi bir kimlik doğrulama olmadan saklanan şifreleri almasına olanak tanıyan birkaç sorunu da çözdü. Son olarak, FaceTime'daki bir hata giderildi, aksi takdirde Live Photos meta verileri aracılığıyla hassas kullanıcı bilgilerini sızdırmış olabilir.
thehackernews'dan alıntıdır.
Kayıtlar
Hiç yorum yok:
Yorum Gönder