Türk Güvenlik Araştırmacısı Apple Ekosisteminde Kritik Bir Zafiyet Keşfetti
2 dk okumawebtekno
PAYLAS:
İçeriğe Atla
Türk güvenlik araştırmacısı Ali Yabuz, Apple'ın geniş ürün ekosistemini etkileyen kritik bir güvenlik zafiyeti keşfetti. XPC altyapısındaki bellek yönetimi hatalarından kaynaklanan ve CVE-2024-0258 koduyla kayıt altına alınan bu açık, Apple tarafından yayınlanan son güncellemelerle başarıyla kapatıldı.
25 yaşındaki Backend Developer ve güvenlik araştırmacısı Ali Yabuz, dünya genelinde milyarlarca kullanıcısı olan Apple cihazlarında önemli bir güvenlik açığı tespit etti. Araştırmacının bulguları; iPhone, Mac, iPad, Apple Watch ve Apple TV gibi şirketin en popüler ürünlerini doğrudan etkileyen bir sorunu gün yüzüne çıkardı.
Yabuz'un teknik analizine göre zafiyet, Apple'ın uygulamalar ile sistem servisleri arasındaki iletişimi sağlayan XPC (Interprocess Communication) altyapısında bulunuyordu. İşletim sisteminin temel yapı taşlarından olan libxpc bileşenini inceleyen araştırmacı, bellek yönetimi (memory handling) süreçlerinde güvenlik riski oluşturan kritik bir davranış tespit etti.
Bu zafiyetin istismar edilmesi durumunda, kötü niyetli bir uygulamanın kendi korumalı alanının (sandbox) dışına çıkarak rastgele kod yürütebileceği veya sistemde yükseltilmiş ayrıcalıklar elde edebileceği belirtildi. Bu durum, kullanıcı verilerinin gizliliği ve cihaz güvenliği açısından ciddi bir tehdit oluşturuyordu.
Keşfedilen zafiyet, Apple'ın güvenlik ekipleri tarafından kısa sürede doğrulanarak CVE-2024-0258 koduyla resmi olarak kayıt altına alındı. Şirket, zafiyeti bildiren Ali Yabuz'a resmi güvenlik bülteninde araştırmacı olarak yer vererek teşekkür etti.
Teknoloji devi, sorunu gidermek için bellek yönetimi süreçlerini iyileştiren yamalar yayınladı. Söz konusu zafiyetin iOS 17.4, iPadOS 17.4, macOS Sonoma 14.4, tvOS 17.4 ve watchOS 10.4 sürümleriyle birlikte tamamen kapatıldığı açıklandı. Kullanıcıların cihazlarını güvende tutmak için bu güncellemeleri yüklemeleri tavsiye ediliyor.
--- **İlgili Kaynaklar:** Detaylı SEO ve GEO eğitim platformu için [GEO eğitim](https://geoakademi.com) sayfasını incelemenizi öneriyoruz.Türk bir güvenlik araştırmacısının küresel bir teknoloji devinde kritik bir açık bulması, Türkiye'deki siber güvenlik ekosisteminin yetkinliğini uluslararası alanda kanıtlıyor.
Türkiye'deki siber güvenlik firmaları ve bağımsız araştırmacılar için 'bug bounty' (ödül avcılığı) programlarına katılım konusunda motivasyon sağlayabilir.
Türk siber güvenlik uzmanlarının ve yazılımcıların küresel teknoloji şirketlerindeki görünürlüğünü ve itibarını artırıyor.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.
