Apple, resmi güvenlik notlarında CVE-2024-0258 kodlu güvenlik açığı için Türk yazılımcı ve güvenlik araştırmacısı Ali Yabuz’u kredilendirdi. Açık; iOS 17.4, iPadOS 17.4, macOS Sonoma 14.4, tvOS 17.4 ve watchOS 10.4 güncellemeleriyle kapatılan güvenlik sorunları arasında yer aldı.
Apple’ın güvenlik notlarında yer alan bilgiye göre CVE-2024-0258, libxpc bileşenini ilgilendiriyor. Şirket, açığın etkisini bir uygulamanın sandbox dışına çıkabilmesi ya da belirli yükseltilmiş ayrıcalıklarla rastgele kod çalıştırabilmesi olarak tanımlıyor. Bu nedenle konu, Apple platformlarında uygulamalar ile sistem servisleri arasındaki güvenli iletişim katmanı açısından önem taşıyor.
Açık Birden Fazla Apple Platformunu Etkiledi
CVE-2024-0258; iPhone, iPad, Mac, Apple Watch ve Apple TV tarafındaki güncellemelerin güvenlik içeriklerinde listelendi. Apple’ın iOS 17.4 ve iPadOS 17.4, macOS Sonoma 14.4, tvOS 17.4 ve watchOS 10.4 güvenlik notlarında aynı CVE kaydı için “ali yabuz” adına kredi veriliyor.
National Vulnerability Database kaydında da açık, Apple işletim sistemleri kapsamında değerlendiriliyor. NVD kaydına göre güvenlik açığı, uygulama sandbox’ından çıkış veya yükseltilmiş ayrıcalıklarla kod yürütme etkisiyle ilişkilendiriliyor.
libxpc/XPC Katmanı Neden Önemli?
XPC, Apple ekosisteminde uygulamalar ile sistem servisleri arasında kontrollü iletişim kurulmasını sağlayan temel yapılardan biri. Bu katman, uygulamaların ayrıcalıklı servislerle konuşurken belirli sınırlar içinde kalması açısından kritik rol oynuyor. Sandbox modeli de uygulamaların sistem genelinde sınırsız erişim kazanmasını engelleyen ana güvenlik mekanizmaları arasında bulunuyor.
Bu nedenle XPC ve sandbox sınırlarını ilgilendiren açıklar, yalnızca tek bir uygulama hatası olarak değil, sistem güvenliği bağlamında daha geniş etkiler doğurabilecek sorunlar olarak değerlendiriliyor. CVE-2024-0258’in Apple’ın birden fazla platformunda aynı güvenlik güncellemesi döneminde kapatılması da bu kapsamı gösteriyor.
Ali Yabuz Apple Güvenlik Notlarında Yer Aldı
Ali Yabuz, paylaştığı bilgilere göre backend geliştirme ve güvenlik araştırmaları alanında çalışan bir yazılımcı. Araştırma odağı arasında tersine mühendislik, düşük seviye programlama, işletim sistemi bileşenleri, XPC/Mach yapıları, sandbox mimarisi ve Apple ekosistemindeki güvenlik katmanları bulunuyor.
Apple’ın resmi güvenlik notlarında bir araştırmacının adıyla kredilendirilmesi, bildirilen güvenlik bulgusunun şirket tarafından değerlendirilip güncelleme sürecine dâhil edildiğini gösteriyor. Bu durum, özellikle düşük seviye güvenlik araştırmalarıyla ilgilenen geliştiriciler için önemli bir referans niteliği taşıyor.
Güncellemelerle Kapatıldı
CVE-2024-0258, Apple’ın 2024 yılında yayımladığı 17.4 ve 14.4 sürüm ailesindeki güvenlik güncellemeleriyle giderildi. Kullanıcıların Apple cihazlarında güncel işletim sistemi sürümlerini kullanması, bu ve benzeri kapatılmış açıkların istismar riskini azaltmak açısından önem taşıyor.
Apple’ın ilgili güvenlik notlarına iOS 17.4 ve iPadOS 17.4, macOS Sonoma 14.4, tvOS 17.4 ve watchOS 10.4 sayfalarından ulaşılabiliyor. CVE kaydı ise NVD ve CVE.org üzerinde listeleniyor.