Google, Tüm Apple Cihazları Kapsayan Bir Açık Keşfetti !

Project Zero ekibi, sorunun multimedya işlemekte kullanılan ImageIO yapısında olduğunu söyledi. Bu yapı; iOS, macOS, watchOS ve tvOS işletim sistemlerinin tamamında kullanılıyor, hâliyle bu sorun her cihazda yer alıyor.

ImageIO, bir görsel ya da mesaj gönderildiğinde içeriğini kendiliğinden değerlendiriyor ve dosyanın ne olduğuna kendisi karar veriyor. Bu tür otomatik süreçler de farklı dosyalara zararlı kodlar saklayabilen hackerların iştahının kabarmasına neden oluyor. 

Google analistleri 'fuzzing' adı verilen tekniği kullanarak ImageIO’nun hatalı görsel işlemeyle nasıl başa çıktığını inceledi. Ardından da bu yapı içerisinde 6, OpenEXR adlı üçüncü parti uygulamadaysa ekstradan 8 adet daha açık buldu. 

Google, Apple’a açıklar hakkında bilgi verdi:

Açıklar üçüncü parti mesajlaşma uygulamalarıyla istismar edilebilecek olsa da asıl sorun, uygulamaların bağlı olarak çalıştığı kaynaktan geliyor. Yani sorunun çözümü için Apple’ın bir şeyler yapması gerekiyor. Google analistleri, keşfettikleri açıkları Apple’a bildirdi. Firmanın daha önce de yayınladığı güncellemelerde bu türden açıkları kapattığını biliyoruz. ImageIO açıkları, Ocak 2020 ve Nisan 2020’de yayınlanan yamalarda giderilmişti. OpenEXR sorunları en son güncelleme olan 2.41 güncellemesinde ortadan kaldırmıştı.

Araştırmacılar, kullanıcıların belli türlerdeki mesajların sınırlandırılmasının faydalı olacağını belirtiyor. Araştırmacılardan Samuel Gross ise ekibin keşfettiği açıklar kapatılmasına rağmen benzer sorunların devam ettiğini söylüyordu. Herhangi bir işletim sisteminin tamamen güvenli olması pek de mümkün değil. Güvenlik uzmanları ve hackerler, bir nevi bitmeyen yarış içerisinde. Bu da sahip olduğumuz yazılımları güncel tutmanın önemini vurguluyor.

Kaynak: www.webtekno.com