TECHNEIRO

TECHNEIRO
Siber Güvenlik

Apple’dan Acil Güncelleme: İki Kritik WebKit Açığı Kapatıldı

by ibrahim0

Apple, Cuma günü iPhone, iPad ve Mac kullanıcıları için kritik öneme sahip acil güvenlik güncellemeleri yayınladı. Sektör kaynaklarından ve güvenlik raporlarından edinilen bilgilere göre, bu güncellemeler “yaban ortamında” (in the wild) aktif olarak istismar edildiği tespit edilen iki yeni zero-day güvenlik açığını kapatıyor.

Özellikle Siber Güvenlik uzmanları ve Google’ın Tehdit Analiz Grubu (TAG) tarafından tespit edilen bu açıklar, saldırganların hedefledikleri cihazlarda uzaktan kod yürütmesine ve bellek bozulmalarına yol açabiliyor. Aralık 2025 itibarıyla yayınlanan bu yamalar, iOS 19, iPadOS 19 ve macOS platformlarını kapsıyor.

Kapatılan Kritik Açıklar: CVE-2025-43529 ve CVE-2025-14174

Apple’ın yayınladığı güvenlik bültenine göre, yamalanan iki zafiyet de WebKit motorunu etkiliyor. WebKit, Safari tarayıcısının yanı sıra iOS üzerindeki tüm üçüncü taraf tarayıcıların (Chrome, Firefox vb.) da temelini oluşturduğu için risk faktörü oldukça yüksek.

1. CVE-2025-43529 (WebKit Use-After-Free)

Bu açık, Google Tehdit Analiz Grubu (TAG) tarafından keşfedildi. Teknik detaylar şu şekilde:

  • Tür: Use-After-Free (Serbest Bırakıldıktan Sonra Kullanım).
  • Risk: Saldırganlar, özel olarak hazırlanmış kötü amaçlı bir web içeriğini işlerken bu açıktan faydalanabiliyor.
  • Sonuç: Cihazda keyfi kod yürütülmesine (Arbitrary Code Execution) olanak tanıyor. Bu, saldırganın cihazın kontrolünü ele geçirebileceği anlamına geliyor.

2. CVE-2025-14174 (WebKit Memory Corruption)

Bu zafiyet, hem Apple Mühendislik Ekibi (SEAR) hem de Google TAG tarafından ortaklaşa raporlandı.

  • Tür: Bellek Bozulması (Memory Corruption).
  • Risk: Kötü amaçlı web içeriğinin işlenmesi sırasında tetikleniyor.
  • İlişki: Bu açığın, Google’ın Chrome tarayıcısı için hafta başında yayınladığı yamayla (ANGLE kütüphanesindeki sınır dışı bellek erişimi) bağlantılı olduğu belirtiliyor.

Hedefli Casus Yazılım Saldırıları

Raporlar, bu açıkların “belirli bireylere yönelik son derece sofistike saldırılarda” kullanılmış olabileceğine işaret ediyor. Her iki açığın da WebKit motorunu etkilemesi ve Google TAG’in (genellikle devlet destekli aktörleri ve ticari casus yazılımları izleyen birim) keşifte rol alması, bu saldırıların paralı casus yazılımlar (mercenary spyware) ile ilişkili olabileceğini gösteriyor.

Sıradan kullanıcılar için risk daha düşük olsa da, Apple tüm kullanıcıların cihazlarını iOS 19.2, iPadOS 19.2 ve macOS‘in son sürümlerine derhal güncellemelerini tavsiye ediyor.

📋 Güncelleme Alan ve Etkilenen Cihaz Listesi

Apple’ın yayınladığı güvenlik notlarına göre, bu açıklardan etkilenen ve güncelleme alması gereken cihazların tam listesi aşağıdadır. Cihazınız bu listedeyse hemen “Ayarlar > Genel > Yazılım Güncelleme” menüsünü kontrol ediniz.

iPhone Modelleri:

  • iPhone 17 Pro Max
  • iPhone 17 Pro
  • iPhone 17 Air (Slim)
  • iPhone 17
  • iPhone 16 Pro Max
  • iPhone 16 Pro
  • iPhone 16 Plus
  • iPhone 16
  • iPhone 15 Pro Max
  • iPhone 15 Pro
  • iPhone 15 Plus
  • iPhone 15
  • iPhone 14 Pro Max
  • iPhone 14 Pro
  • iPhone 14 Plus
  • iPhone 14
  • iPhone 13 Pro Max
  • iPhone 13 Pro
  • iPhone 13
  • iPhone 13 mini
  • iPhone 12 Pro Max
  • iPhone 12 Pro
  • iPhone 12
  • iPhone 12 mini
  • iPhone 11 Pro Max
  • iPhone 11 Pro
  • iPhone 11

iPad Modelleri:

  • iPad Pro 13 inç (M4)
  • iPad Pro 12.9 inç (3. nesil ve sonrası tüm modeller)
  • iPad Pro 11 inç (1. nesil ve sonrası tüm modeller)
  • iPad Air (M2)
  • iPad Air (3. nesil ve sonrası tüm modeller)
  • iPad (7. nesil ve sonrası tüm modeller)
  • iPad mini (5. nesil ve sonrası tüm modeller)

Nasıl Güncelleme Yapılır?

Cihazınızı en son güvenlik yamalarıyla korumak için şu adımları izleyin:

  1. iPhone ve iPad:
    • Ayarlar uygulamasını açın.
    • Genel menüsüne dokunun.
    • Yazılım Güncelleme seçeneğine gidin.
    • Ekranda görünen güncellemeyi (iOS 19.2 / iPadOS 19.2) İndir ve Yükle butonuna basarak kurun.
  2. Mac (macOS):
    • Sistem Ayarları‘nı açın.
    • Genel > Yazılım Güncelleme yolunu izleyin.
    • Güncellemeyi yükleyin.

Eğer “Otomatik Güncelleme” özelliğiniz açıksa, cihazınız gece şarja takılıyken bu işlemi kendi kendine gerçekleştirecektir. Ancak bu tür “zero-day” durumlarında manuel kontrol yapmanız önerilir.

Techneiro Analizi

Teknoloji dünyasında 2025 yılının son çeyreğine girerken, Apple ve Google arasındaki güvenlik iş birliğinin meyvelerini bir kez daha görüyoruz. Özellikle WebKit motorunun, hem iOS hem de diğer tarayıcılar için ortak bir zemin oluşturması, bu motoru saldırganlar için cazip bir hedef haline getiriyor. CVE-2025-43529 ve CVE-2025-14174 kodlu açıkların Google Threat Analysis Group (TAG) tarafından raporlanması, tehdidin basit bir siber suçtan ziyade, devlet destekli veya yüksek profilli casus yazılım operasyonlarıyla (Pegasus, Predator vb. türevleri) ilişkili olabileceğini güçlü bir şekilde düşündürüyor.

Kullanıcılar açısından en kritik nokta, bu açıkların “In the Wild” yani aktif saldırılarda kullanılıyor olmasıdır. Bu, açığın sadece teorik bir risk olmadığını, şu anda birilerinin bu açığı kullanarak cihazlara sızmaya çalıştığını gösterir. iPhone 17 serisinin piyasaya sürülmesiyle birlikte donanımsal güvenlik önlemleri artsa da, yazılım tabanlı WebKit açıkları her zaman bir arka kapı riski taşımaktadır. Bu nedenle, sürüm numarası ne olursa olsun, “Güvenlik Yanıtı” veya tam sürüm güncellemelerinin bekletilmeden yüklenmesi hayati önem taşıyor.

Teknoloji dünyasındaki en son yenilikleri ve özel incelemeleri kaçırmamak için Techneiro.com‘u takipte kalın.

İlgili Gönderiler

OpenAI API Kullanıcıları İçin Kritik Uyarı: Mixpanel Kaynaklı Veri İhlali ve Güvenlik Riskleri

ibrahim

“Hacklenemez” Denilen FIDO Anahtarları, Yeni Bir Saldırıyla Aşılıyor!

ibrahim

WinRAR’ınızı Hemen Güncelleyin: Hackerlar Yeni Bir Açıkla Bilgisayarınıza Sızıyor!

ibrahim

Bir Yorum Bırakın

Bir sonraki yorumumda kullanılmak üzere adımın, e-posta adresimin ve internet sitemin bu tarayıcıda kaydedilmesini sağla.