Apple, iOS ve iPadOS için CVE-2022-22620 güvenlik açığını kapatan acil bir güncelleme yayınladı. Şirketin güvenlik açığından bilinmeyen aktörler tarafından aktif olarak yararlanıldığına inanmak için nedenleri bulunuyor, bu nedenle cihazların mümkün olan en kısa sürede güncellenmesini tavsiye ediyor.
CVE-2022-22620 güvenlik açığı neden tehlikeli
Her zamanki gibi Apple uzmanları, inceleme tamamlanana ve kullanıcıların çoğu yamaları yükleyene kadar güvenlik açığının ayrıntılarını açıklamıyor. Şu anda güvenlik açığının yalnızca Use-After-Free (UAF) sınıfına ait olduğunu, dolayısıyla uygulamalarda dinamik belleğin yanlış kullanımıyla ilgili olduğunu söylüyorlar. Bu açıktan yararlanılması, saldırganın, işlemin kurbanın cihazında rastgele kod yürütülmesine yol açabilecek kötü amaçlı web içeriği oluşturmasına olanak tanıyor.
Basitçe söylemek gerekirse en olası saldırı senaryosu, kötü amaçlı bir web sayfasını ziyaret ettikten sonra bir iPhone veya iPad cihazına kötü amaçlı yazılımın bulaşması.
Hangi cihazlar ve uygulamalar CVE-2022-22620 açığına karşı savunmasız?
Hatanın açıklamasına bakılırsa güvenlik açığı, macOS, iOS ve Linux’taki birçok uygulamada kullanılan WebKit motorunda bulundu. Özellikle, iOS ve iPadOS için tüm tarayıcılar bu açık kaynak motorunu temel alır — yani yalnızca iPhone’da kullanılan varsayılan tarayıcı Safari değil, aynı zamanda Google Chrome, Mozilla Firefox ve diğer tarayıcılar da buna dahil. Yani Safari kullanmasanız bile bu güvenlik açığı sizi doğrudan etkiliyor.
Apple, iPhone 6s ve daha yeni cihazlar için güncelleme yayınladı; tüm iPad Pro tüm modelleri, 2. nesil iPad Air ve daha sonrakiler, 5. nesil ve sonrasındaki iPad’ler, 4. nesil ve sonrasındaki iPad miniler ve 7. nesil ve sonrasındaki iPod touch medya oynatıcılar.
Kendinizi korumanın yolları
Apple’ın 10 Şubat’ta yayınladığı yamalar, bellek yönetim mekanizmalarını değiştirerek CVE-2022-22620’nin kötüye kullanılmasını engelliyor. Bu yüzden cihazınızı korumak için iOS 15.3.1 ve iPadOS 15.3.1 güncellemelerini yüklemeniz yeterli olacaktır. Yamayı yüklemek için cihazınızın bir Wi-Fi ağına bağlı olması gereklidir.
Cihazınız henüz güncellemenin yüklemeye hazır olduğuna dair bir bildirim göstermiyorsa, sisteminizi biraz daha hızlı güncelleme konusunda zorlayabilirsiniz: Sistem ayarlarına girin (Ayarlar → Genel → Yazılım güncellemesi) ve yazılım güncellemelerinin olup olmadığını kontrol edin.
Doğrudan cihazlarınızı ve uygulamalarınızı ilgilendiren son siber tehditler hakkında uyarılar almak için Windows, macOS, Android ve iOS işletim sistemleri için mevcut olan Kaspersky Security Cloud‘ı kullanmanızı öneriyoruz. Kullandığınız yazılımda yeni bir güvenlik açığı veya ziyaret ettiğiniz internet sitesinde bir veri sızıntısı tespit edildiğinde, kendinizi nasıl koruyacağınız konusunda tavsiyeler içeren bir bildirim alırsınız.