Kritik Güvenlik Güncellemesi

Apple, 2025 yılının siber güvenlik gündemini doğrudan etkileyen önemli bir adım attı. Çarşamba günü, iOS, iPadOS, macOS Sequoia, tvOS ve visionOS işletim sistemlerine yönelik kritik güvenlik güncellemesi yayımladı. Güncellemeler, halihazırda siber saldırganlar tarafından aktif biçimde istismar edilen iki önemli güvenlik açığını gidermeyi amaçlıyor. Şirket, özellikle hedefli saldırılarda kullanılan bu açıkların oldukça sofistike yöntemlerle istismar edildiğini vurguladı. Kullanıcıların ise cihazlarını vakit kaybetmeden güncellemeleri gerektiğinin altını çizdi. Yayınlanan yamalar, yalnızca sistem güvenliğini artırmakla kalmıyor. Aynı zamanda Apple’ın kullanıcı mahremiyetine verdiği önemi de bir kez daha gözler önüne seriyor.

Aktif Saldırılarda Kullanılan İki Güvenlik Açığı

Apple tarafından duyurulan güvenlik açıkları şunlardır:

  • CVE-2025-31200 (CVSS puanı: 7.5): Core Audio altyapısında yer alan bir bellek bozulması (memory corruption) açığı. Bu açık, kötü amaçla hazırlanmış bir medya dosyasındaki ses akışının işlenmesi sırasında uzaktan kod çalıştırılmasına neden olabiliyor.
  • CVE-2025-31201 (CVSS puanı: 6.8): RPAC bileşeninde yer alan bir zafiyet. Bu açık sayesinde, rastgele okuma ve yazma yeteneği olan bir saldırgan, Pointer Authentication güvenlik mekanizmasını atlatabiliyor.

Apple, CVE-2025-31200 numaralı açığı sınır kontrolünü geliştirerek kapattı. Ancak CVE-2025-31201 için zafiyet içeren kod parçasını tamamen sistemden kaldırdı.

Bu açıkların keşfi, Apple’ın güvenlik ekibi ile Google’ın Tehdit Analiz Grubu (TAG) tarafından gerçekleştirildi. Ancak Apple’ın alışıldık politikası gereği, bu açıklarda hedef alınan kişilerin kimlikleri açıklanmadı. Özellikle bu saldırıların “son derece sofistike” olduğu ve “belirli bireyleri hedef aldığı” belirtildi.

2025 Yılında Tespit Edilen Diğer Aktif Açıklar

Apple, bu son gelişmelerle birlikte 2025 yılı başından bu yana toplamda beş adet aktif olarak istismar edilen sıfırıncı gün (zero-day) açığını düzeltmiş oldu:

  • CVE-2025-24085 (CVSS puanı: 7.8): Core Media bileşeninde bulunan ve kötü niyetli bir uygulamanın cihazda ayrıcalıklarını artırmasına olanak tanıyan bir use-after-free açığı.
  • CVE-2025-24200 (CVSS puanı: 4.6): Accessibility bileşeninde yer alan bir yetkilendirme sorunu. Saldırgan, bu açık sayesinde fiziksel saldırılar sırasında kilitli bir cihazda USB kısıtlamasını devre dışı bırakabiliyor.
  • CVE-2025-24201 (CVSS puanı: 7.1): WebKit bileşeninde keşfedilen bir out-of-bounds yazma hatası. Bu açık, özel olarak hazırlanmış web içeriğiyle, Web Content sandbox’ından kaçılmasına neden olabiliyor.

Kritik Güvenlik Güncellemesi: Güncellemelerin Kapsadığı Cihazlar

Aşağıdaki cihazlar için güvenlik güncellemeleri yayınlandı:

  • iOS 18.4.1 ve iPadOS 18.4.1: iPhone XS ve sonrası, iPad Pro (13 ve 11 inç modeller, 3. nesil ve sonrası), iPad Air 3. nesil ve sonrası, iPad 7. nesil ve sonrası, iPad mini 5. nesil ve sonrası
  • macOS Sequoia 15.4.1: macOS Sequoia çalıştıran tüm Mac modelleri
  • tvOS 18.4.1: Apple TV HD ve tüm Apple TV 4K modelleri
  • visionOS 2.4.1: Apple Vision Pro

Kullanıcılara Tavsiye: Kritik Güvenlik Güncellemesi ve Güvenlik Uyarısı

Geçmişte macOS kullanıcılarını hedef alan Coffeeloader saldırıları da Apple güvenlik açıklarına dair önemli bir örnektir. Bu zararlı yazılım, özellikle 2023 yılında kimlik avı e-postaları ve sahte yazılım yükleyicileri üzerinden yayılmıştır. Özellikle Coffeeloader, bulaştığı sistemlerde LaunchAgent dizinine kendini yerleştirerek kalıcılık sağlamaktaydı. Command & Control (C2) sunucularıyla iletişime geçerek saldırganlara uzaktan komut yürütme imkânı tanımaktadır. Ayrıca, obfuscated shell script teknikleri kullanılarak analiz edilmesi zorlaştırılmıştır. Bu da tespiti ve bertaraf edilmesini güçleştirmiştir. Sisteme bulaştıktan sonra, genellikle Python tabanlı yükleyiciler aracılığıyla ikinci aşama zararlı yazılımlar indirip çalıştırmaktadır. Bu hedef sisteminde tam kontrolünü sağlamaktadır. Bu tarz gelişmiş saldırıların varlığı, Apple cihazları için yayımlanan güvenlik yamalarının yalnızca teorik değil, pratikte de kritik bir savunma hattı oluşturduğunu ortaya koymaktadır.