Apple, Citizen Lab’deki güvenlik araştırmacılarının devlet kurumlarının gazetecilerin, avukatların ve aktivistlerin telefonlarına casus yazılım yüklemesine izin vermek için büyük olasılıkla istismar edildiğini söylediği bir hatayı düzeltmek için iOS, macOS ve watchOS için bir dizi yeni güncelleme yayınladı. . Araştırmacılar, hatanın Pegasus casus yazılımının “sıfır tıklama” kurulumuna (yani hedefin virüs bulaşması için hiçbir şey yapması gerekmediği anlamına gelir) izin verdiğini söylüyorlar. kamera. Daha fazla ayrıntı için Pegusus açıklamamızı buradan okuyabilirsiniz.
İstismarın ciddiyeti göz önüne alındığında, mümkün olan en kısa sürede iOS 14.8, macOS Big Sur 11.6 ve watchOS 7.6.2’ye güncelleme yapmalısınız.
Apple’ın güncelleme sayfası, “bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir raporun farkında” olduğunu söylüyor.
Ağustos’ta Citizen Lab’in iOS 14.6 çalıştıran telefonlara karşı başarıyla kullanıldığını bildirdiği (Mayıs ayında yayınlandı) bu açığı duyduk. Citizen Lab ayrıca, “ForcedEntry” kod adlı güvenlik açığının, Uluslararası Af Örgütü’nün Temmuz ayında yazdığı bir istismarın davranışıyla eşleştiğini söyledi. O sırada güvenlik araştırmacıları, bunun Apple’ın CoreGraphics sistemindeki bir hatayla mümkün olduğunu ve telefonun, kötü amaçlı bir dosya içeren bir kısa mesaj aldıktan sonra GIF’lerle ilgili bir işlevi kullanmaya çalıştığında meydana geldiğini yazdı.
Ancak, bu bilgilerle bile, virüslü dosyalara erişim olmadan tam olarak neler olduğunu saptamak zor olabilir.
Dosyalar, SMS eki olarak gönderilen GIF’ler gibi görünüyordu, ancak aslında PSD’ler ve PDF’lerdi. (Apple’ın güncelleme notları, sorunun kötü amaçlarla oluşturulmuş bir PDF işlenirken meydana geldiğini söylüyor.) Citizen Lab, bunların Pegasus ile ilgili olabileceğinden şüphelendi ve dosyaları 7 Eylül’de Apple’a gönderdi. Apple, hatayı düzelten yazılım güncellemelerini 13 Eylül’de yayınladı. iOS 14.8, görünüşe göre yalnızca güvenliğe odaklanmış
Pazartesi günkü güncellemelerden bazıları, iOS ve macOS Big Sur için WebKit ile ilgili ikinci bir güvenlik sorununu da düzeltiyor (bu değil Catalina sürüm notlarında belirtilmiştir). NSO’nun istismarlarıyla ilgili olup olmadığı belirsiz olsa da – keşfi Citizen Lab yerine “anonim bir araştırmacıya” atfediliyor ve sistemin farklı bir parçası – Apple hala “aktif olarak sömürülmüş olabileceğini” söylüyor.
Böylesine acil bir güvenlik sorunu, muhtemelen işletim sisteminin bu sürümünü hiçbir zaman çalıştırmayacak yeni telefonların duyurulmasının beklendiği bir Apple etkinliğinden sadece bir gün önce iOS için yeni bir güncelleme gördüğümüzü açıklıyor. Yine de, Ağustos ayının başından bu yana bir iOS 14.8 sürümü hakkında söylentiler var, ancak Pazartesi günkü sürümün yalnızca Eylül ayında keşfedilen güvenlik sorunlarıyla ilgili olduğu düşünülürse, en az bir iOS 14 sürümü daha görmemiz mümkün.
iOS 14.7 ayrıca, sistemle rastgele kod yürütülmesine de yol açabilecek görünüşte ayrı bir sorun için bir düzeltme içeriyordu. WebKit ayrıca yakın zamanda Apple’ın “aktif olarak istismar edilmiş olabileceğini” söylediği güvenlik sorunlarını gidermek için birkaç güncelleme yaptı. Ağustos ayında CoreGraphics açıklarından yararlanma haberi patlak verdiğinde Apple, TechCrunch’a iOS 15 için güvenliği artırmaya çalıştığını söyledi.
Tüm bunlar, tüm cihazlarınızı güncel tutmanın ne kadar önemli olduğunu hatırlatıyor. -tarih. Gelişmiş casus yazılım kullanan bir hükümetin kendinizi asla kötü tarafında bulmamanızı ummakla birlikte, cihazınızın yaygın olarak bildirilen güvenlik açıklarına karşı savunmasız olmadığından emin olmak yine de iyi bir fikirdir. Neyse ki Apple, kullanıcıların iOS 15’e yükseltme yapmak zorunda kalmadan iOS 14 için güvenlik güncellemelerini yüklemelerine izin vermeyi planlıyor; bu, gelecekteki düzeltmeler için yararlı olabilir. Ancak şimdilik tüm cihazlarınızı mümkün olan en kısa sürede güncelleyin.
.