Apple, gizli dinlemeye izin verebilecek AirPods Bluetooth güvenlik açığını yamaladı
Apple, AirPod'lar için kötü niyetli bir aktörün kulaklıklara yetkisiz bir şekilde erişmesine izin verebilecek bir ürün yazılımı güncellemesi yayınladı.
CVE-2024-27867 olarak izlenen kimlik doğrulama sorunu AirPods (2. nesil ve sonraki modeller), AirPods Pro (tüm modeller), AirPods Max, Powerbeats Pro ve Beats Fit Pro'yu etkiler.
Apple, Salı günü yaptığı açıklamada, "Kulaklığınız daha önce eşleştirilmiş cihazlarınızdan birine bağlantı isteği ararken, Bluetooth kapsama alanındaki bir saldırgan amaçlanan kaynak cihazı taklit edebilir ve kulaklığınıza erişebilir" dedi.
Başka bir deyişle, fiziksel yakınlıktaki bir düşman, özel konuşmaları gizlice dinlemek için güvenlik açığından yararlanabilir. Apple, sorunun iyileştirilmiş durum yönetimi ile ele alındığını söyledi.
Jonas Dreßler, kusuru keşfetmesi ve bildirmesiyle tanındı. AirPods Firmware Güncellemesi 6A326, AirPods Firmware Güncellemesi 6F8 ve Beats Firmware Güncellemesi 6F8'in bir parçası olarak yamalanmıştır.
Geliştirme, iPhone üreticisinin WebKit tarayıcı motorundaki yedi kusur da dahil olmak üzere 1.2 eksikliği kapatmak için visionOS (sürüm 21) güncellemelerini yayınlamasından iki hafta sonra geldi.
Sorunlardan biri, web içeriği işlenirken hizmet reddine (DoS) neden olabilecek bir mantık hatasıyla (CVE-2024-27812) ilgilidir. Sorun, geliştirilmiş dosya işleme ile giderildi, dedi.
Güvenlik açığını bildiren güvenlik araştırmacısı Ryan Pickren, bunu "tüm uyarıları atlamak ve odanızı rastgele sayıda animasyonlu 3D nesneyle zorla doldurmak" için silah haline getirilebilecek "dünyanın ilk uzamsal bilgi işlem hack'i" olarak nitelendirdi.
Güvenlik açığı, Apple'ın bir kurbanın odasında 3B nesneler oluşturmak için ARKit Hızlı Bakış özelliğini kullanırken izin modelini uygulamamasından yararlanır. Daha da kötüsü, bu animasyonlu nesneler, ayrı bir uygulama tarafından işlendikleri için Safari'den çıktıktan sonra bile devam ediyor.
Pickren, "Ayrıca, bu bağlantı etiketinin insan tarafından 'tıklanmasını' bile gerektirmiyor" dedi. "Yani programatik JavaScript tıklaması (yani, document.querySelector('a').click()) sorunsuz çalışıyor! Bu, herhangi bir kullanıcı etkileşimi olmadan rastgele sayıda 3D, animasyonlu, ses oluşturan nesne başlatabileceğimiz anlamına geliyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Cisco, Public PoC Exploit Release'den Sonra ISE Güvenlik Açığı Yamaları Düzeltti
CISA, 2019 ile 2024 yılları arasında yayımlanan 10 acil siber güvenlik direktifini emekliye kaldırdı
Çin Bağlantılı Hackerlar, VMware ESXi Zero-Days Uygulamasını Kullanarak Sanal Makinelerden Kaçtı
Cracked yazılımlar ve YouTube videoları CountLoader ve GachiLoader Zararlı Yazılımını Yaydı
Rusya Bağlantılı Hackerlar, Hesap Ele Geçirmeleri İçin Microsoft 365 Cihaz Kodu Oltalaması Kullanıyor
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor