Apple, iOS, macOS ve Safari için kritik güvenlik güncellemeleri yayınladı. Bu paket, yapay zeka araçları kullanılarak keşfedilen dört WebKit açığını da kapsayan 30’un üzerinde güvenlik zafiyetini düzeltiyor. WebKit, Apple tarafından geliştirilen açık kaynaklı bir web tarayıcı motoru ve bu tür açıklar, tarayıcı üzerinden kötü amaçlı içeriklerle sistemlere zarar verme riski taşıyor.
WebKit’te Yapay Zeka Destekli Zafiyetler
Yeni yamalar, özellikle AI destekli araçlarla tespit edilen CVE-2026-43707, CVE-2026-43716, CVE-2026-43745 ve CVE-2026-43715 kodlu dört kritik güvenlik açığını kapatıyor. Örneğin, bellekte bozulmaya yol açabilen bazı hatalar, daha iyi hafıza yönetimi ve giriş doğrulama ile giderildi. İlk üç açığın keşfi, OpenAI Codex Security tarafından sağlanırken, dördüncü zafiyet ise Anthropic araştırmacıları Milad Nasr ve Nicholas Carlini ile Claude AI aracı tarafından raporlandı.
Diğer dikkat çeken açıklar arasında WebKit Canvas’ta bulunan bir kullanımdan sonra serbest bırakma sorunu (use-after-free) ve kötü niyetli web sitelerinin sandbox dışına çıkarak kısıtlı içeriğe erişmesine olanak tanıyan bir güvenlik açığı yer alıyor. Bu tür zafiyetler, tarayıcı güvenliği açısından kritik önem taşıyor çünkü onları kullanmak için kullanıcıların özel bir işlem yapmasına gerek kalmayabilir.
Çekirdek Katmanında Üç Kritik Hata
Güncellemeler ayrıca, kötü amaçlı uygulamaların çekirdek (kernel) durumunu sızdırabileceği ya da çekirdek belleğini bozabileceği üç ayrı açığı da düzeltiyor. CVE-2026-43722, CVE-2026-43724 ve CVE-2026-39868 kodlu bu güvenlik sorunları, sistem kararlılığını tehdit edebileceği gibi, saldırganların yetkisiz erişim elde etmesine zemin hazırlayabilir. Bu açıkların keşfi, güvenlik araştırmacısı Hyunwoo Kim’e ait.
Yamaların Yaygınlaştırılması ve AI Kaygıları
Apple, bu güncellemeleri iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2 ve Safari 26.5.2 sürümlerinde kullanıma sundu. Henüz bu açıkların aktif olarak istismar edildiğine dair bir veri bulunmuyor. Ancak şirket, yapay zekanın istismar araçlarının geliştirilme sürecini hızlandırması nedeniyle yamaları öncekilerden çok daha erken yayımladığını belirtti. Bu, keşif ile istismar arasında kalan sürenin saatlere inmesi gibi yeni bir tehdit ortamına adaptasyon çabası olarak yorumlanabilir.
Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler
- Yama süreçlerini hızlandırarak, kritik güncellemeleri öncelikli şekilde uygulayın.
- WebKit ve Safari gibi tarayıcı motorlarına yönelik logları düzenli olarak izleyin.
- EDR ve SIEM çözümlerinizde, bellek yönetimi ve use-after-free türü saldırıların belirtilerini içeren kurallar oluşturun.
- Sandbox teknolojilerinin doğru yapılandırıldığını ve atak yüzeyinin minimize edildiğini doğrulayın.
- Kullanıcıların e-posta güvenliği farkındalığını artırarak, sosyal mühendislik girişimlerini azaltmaya çalışın.
Bu güncellemeler, tarayıcı güvenliği ve çekirdek koruması alanında önemli bir adım. Yapay zekanın siber saldırıların üretim hızını artırması, kurumların güvenlik stratejilerini gözden geçirmesini zorunlu kılıyor. Özellikle fidye yazılımı ve hedefli saldırılar gibi tehdit türleri düşünüldüğünde, hızlı ve kapsamlı yama yönetimi, ağ segmentasyonu ve olay müdahale planlarının güncel tutulması kritik.