bencede
New member
Apple, Perşembe akşamı macOS, iPadOS ve iOS için en son güvenlik güncellemesinin yeni bir sürümünü yayınladı. Sözde Hızlı Güvenlik Müdahalesi (RSR), daha önce web sitesi uyumluluğuyla ilgili sorunlar nedeniyle gruptan çekilmişti. Instagram veya Zoom gibi iyi bilinen teklifler, RSR yamalı Safari tarayıcısının “artık” desteklenmediğini bildirdi. Sebep: Apple, kullanıcı aracısı dizesini değiştirdi ve ona web sitelerinin düzgün okuyamayacağı bir “(a)” ekledi.
Duyuru
Sabit sıfır gün hatası – istismar riski
Apple, hatanın şimdi düzeltilmesi gerektiğini söylüyor. Güncelleme, Mac, iPad ve iPhone’daki sistem ayarları aracılığıyla içe aktarılabilir, ancak önümüzdeki haftalarda otomatik olarak da kullanıma sunulmalıdır – RSR’lerin amacı, bunların cihazlara olabildiğince çabuk ulaşmasını sağlamaktır. Güncellemenin ana nedeni, Apple’ın zaten kötüye kullanıldığını söylediği WebKit tarayıcı motorundaki sıfır gün hatasıydı. Görünüşe göre, bir saldırganın herhangi bir kodu çalıştırabilmesi için bazı manipüle edilmiş web sitelerini çağırmak yeterliydi, ancak muhtemelen kök haklarıyla değil. Şirket, “Apple, bu sorunun aktif olarak kötüye kullanıldığına dair bir raporun farkında” dedi. CVE Kimliği 2023-37450, Apple, kaşifin anonim kalmak istediğini söylüyor.
RSR zaten Pazartesi akşamı kullanıcılara gönderildi, ancak kısa bir süre sonra geri çekildi, yani artık yazılım güncellemesi yoluyla dağıtılmadı. Daha sonra Apple’ın düzeltmeyi uygulaması üç gün sürdü. Güncelleme artık “iOS Security Response 16.5.1 (c)” veya “macOS Ventura Security Response 13.4.1 (c)” olarak adlandırılıyor. Ekip “(b)” yi dahili olarak görmezden geldi Güncelleme iPhone ve iPad’de nispeten hızlı, burada tam bir yeniden başlatma gerekli değil. Ancak kurulum birkaç dakika sürebilir. Güncelleme ayrıca Mac’te biraz daha hızlıdır, ancak yeniden başlatma gerektirir. Monterey ve Big Sur (macOS 13, macOS 12) kendi Safari 16.5.2 güncellemesine sahiptir. Görünüşe göre bu Apple tarafından güncellenmedi.
Rapid Security Response güncellemeleri neler yapabilir?
Apple’ın RSR’lerle ilgili fikri, güvenlik güncellemelerinin (“indirilmesi çok büyük”, “çok uzun sürüyor”, “yeterli depolama alanı yok”) kötü şöhretinin tozunu almaktır. Bu nedenle grup, 2022’de macOS 13 ve iOS/ıpados 16 ile sözde hızlı güvenlik önlemlerini uygulamaya koydu. Bunlar, Apple’ın ciddi güvenlik açıklarını gidermek için düzenli güncellemeler dışında yayınlayabileceği hafif güvenlik güncellemeleridir. Bu şekilde, planlanan geliştirme döngüsü aşama dışına çıkmaz. Normal bir güncellemenin bazı kapsamlı testleri bile atlanabileceğinden, Apple güvenlik güncellemelerini eskisinden daha az gecikmeyle sunabilir ve böylece bilinen boşluklara daha hızlı tepki verebilir.
Güncellemeleri geri alma olasılığının da olması pratiktir. Bu, bu durumda yardımcı oldu çünkü ilk RSR 16.5.1(a)’daki hata önemli web sitelerinin kullanımını bozdu. “Genel” ve “Hakkında” altındaki sistem ayarlarında, iPhone ve iPad için güncellemeye tıklayın (Mac’te küçük “i” üzerinde) ve ardından iptal etme seçeneğine sahip olun. Elbette yamanın sağladığı korumayı da kaybedersiniz.
Duyuru
(bsc)
Haberin Sonu
Duyuru
Sabit sıfır gün hatası – istismar riski
Apple, hatanın şimdi düzeltilmesi gerektiğini söylüyor. Güncelleme, Mac, iPad ve iPhone’daki sistem ayarları aracılığıyla içe aktarılabilir, ancak önümüzdeki haftalarda otomatik olarak da kullanıma sunulmalıdır – RSR’lerin amacı, bunların cihazlara olabildiğince çabuk ulaşmasını sağlamaktır. Güncellemenin ana nedeni, Apple’ın zaten kötüye kullanıldığını söylediği WebKit tarayıcı motorundaki sıfır gün hatasıydı. Görünüşe göre, bir saldırganın herhangi bir kodu çalıştırabilmesi için bazı manipüle edilmiş web sitelerini çağırmak yeterliydi, ancak muhtemelen kök haklarıyla değil. Şirket, “Apple, bu sorunun aktif olarak kötüye kullanıldığına dair bir raporun farkında” dedi. CVE Kimliği 2023-37450, Apple, kaşifin anonim kalmak istediğini söylüyor.
RSR zaten Pazartesi akşamı kullanıcılara gönderildi, ancak kısa bir süre sonra geri çekildi, yani artık yazılım güncellemesi yoluyla dağıtılmadı. Daha sonra Apple’ın düzeltmeyi uygulaması üç gün sürdü. Güncelleme artık “iOS Security Response 16.5.1 (c)” veya “macOS Ventura Security Response 13.4.1 (c)” olarak adlandırılıyor. Ekip “(b)” yi dahili olarak görmezden geldi Güncelleme iPhone ve iPad’de nispeten hızlı, burada tam bir yeniden başlatma gerekli değil. Ancak kurulum birkaç dakika sürebilir. Güncelleme ayrıca Mac’te biraz daha hızlıdır, ancak yeniden başlatma gerektirir. Monterey ve Big Sur (macOS 13, macOS 12) kendi Safari 16.5.2 güncellemesine sahiptir. Görünüşe göre bu Apple tarafından güncellenmedi.
Rapid Security Response güncellemeleri neler yapabilir?
Apple’ın RSR’lerle ilgili fikri, güvenlik güncellemelerinin (“indirilmesi çok büyük”, “çok uzun sürüyor”, “yeterli depolama alanı yok”) kötü şöhretinin tozunu almaktır. Bu nedenle grup, 2022’de macOS 13 ve iOS/ıpados 16 ile sözde hızlı güvenlik önlemlerini uygulamaya koydu. Bunlar, Apple’ın ciddi güvenlik açıklarını gidermek için düzenli güncellemeler dışında yayınlayabileceği hafif güvenlik güncellemeleridir. Bu şekilde, planlanan geliştirme döngüsü aşama dışına çıkmaz. Normal bir güncellemenin bazı kapsamlı testleri bile atlanabileceğinden, Apple güvenlik güncellemelerini eskisinden daha az gecikmeyle sunabilir ve böylece bilinen boşluklara daha hızlı tepki verebilir.
Güncellemeleri geri alma olasılığının da olması pratiktir. Bu, bu durumda yardımcı oldu çünkü ilk RSR 16.5.1(a)’daki hata önemli web sitelerinin kullanımını bozdu. “Genel” ve “Hakkında” altındaki sistem ayarlarında, iPhone ve iPad için güncellemeye tıklayın (Mac’te küçük “i” üzerinde) ve ardından iptal etme seçeneğine sahip olun. Elbette yamanın sağladığı korumayı da kaybedersiniz.
Duyuru
(bsc)
Haberin Sonu