Selamlar,

Apple, iOS ve iPadOS, macOS, watchOS ve Safari için üç zero-day zafiyetini (CVE-2023-41992, CVE-2023-41991, CVE-2023-41993) fixlemek amacıyla güncellemeler yayınladı.
Bu zafiyetler, iOS 16.7 öncesindeki sürümleri etkiler.

İlgili zafiyetler; The Citizen Lab'den Bill Marczak ve Google'ın Tehdit Analiz Grubu'ndan Maddie Stone tarafından tespit edildi.

CVE-2023-41992, kernel framework'de bulunan bir zafiyettir ve lokal bir saldırganın ayrıcalıklarını yükseltmesine olanak tanır.

CVE-2023-41991, Security frameworrk'de bulunan bu zafiyet, kötü niyetli bir uygulama tarafından imza doğrulamasını bypass etmek için kullanılabilir.

CVE-2023-41993, WebKit tarayıcı motorunda bulunan bu zafiyet, özel olarak oluşturulmuş web içeriği işlenerek tetiklenebilir ve arbitrary code execute edilebilir.

Yayınlanan iOS/iPad 17.0.1 ve 16.7 sürümleri üç zafiyet içinde fixlenmesi mümkndür; Safari güncellemesi sadece WebKit zafiyeti için geçerlidir; watchOS 10.0.1, 9.6.3 ve macOS Ventura 13.6, kernel ve Güvenlik zafiyeti için fixing içerir; macOS Monterey 12.7 sadece kernel zafiyeti için bir yama içerir.

Ayrıca Google'ın Tehdit Analiz Grubu (TAG), Intellexa'nın Predator kötü amaçlı yazılımını hedeflerin iOS cihazlarına dağıtmak için Apple'ın üç sıfır gününün nasıl zincirlendiğini açıklayan bir blog yazısı yayınladı.
https://blog.google/threat-analysis-group/0-days-exploited-by-commercial-surveillance-vendor-in-egypt/