Apple, iOS, iPadOS, macOS Tahoe, tvOS, watchOS ve visionOS platformlarında bulunan ve gelişmiş siber saldırılarda istismar edildiği tespit edilen sıfırıncı gün (zero-day) güvenlik açıklarını kapatan kritik güncellemeler yayımladı. Bu zafiyetler, özellikle iOS 26 öncesi sürümlerde hedeflenen bireylere yönelik sofistike saldırılarda kullanılmış olabilir.
Saldırının Genel Çerçevesi
Öne çıkan zafiyetlerden biri CVE-2026-20700 koduyla takip edilen ve Apple’ın Dinamik Bağlantı Editörü (dyld) bileşeninde bellek bozulmasına neden olan bir açığı içeriyor. Bu bellek bozulması, saldırganların hedef cihazlarda rastgele kod çalıştırmasına imkan tanıyor. Ayrıca, Aralık 2025’te yayımlanan CVE-2025-14174 ve CVE-2025-43529 kodlu iki kritik açık da bu kampanyanın parçası olarak bildirildi.
CVE-2025-14174, Metal grafik API’sinin ANGLE Metal render bileşeninde sınır dışı bellek erişimi sorununa işaret ediyor ve CVSS skoru 8.8 olarak yüksek risk taşıyor. CVE-2025-43529 ise WebKit’te use-after-free açığı olup, kötü amaçlı web içeriği işlendiğinde cihazda rastgele kod çalıştırmaya yol açabiliyor.
Hangi Sistemler Risk Altında?
Güncellemeler aşağıdaki cihaz ve işletim sistemi sürümleri için yayınlandı:
- iOS 26.3 ve iPadOS 26.3: iPhone 11 ve sonrası, iPad Pro 12.9 inç 3. nesil ve sonrası, iPad Pro 11 inç 1. nesil ve sonrası, iPad Air 3. nesil ve sonrası, iPad 8. nesil ve sonrası, iPad mini 5. nesil ve sonrası
- macOS Tahoe 26.3: macOS Tahoe çalışan Mac cihazlar
- tvOS 26.3: Apple TV HD ve Apple TV 4K tüm modeller
- watchOS 26.3: Apple Watch Series 6 ve sonrası
- visionOS 26.3: Apple Vision Pro tüm modeller
Ayrıca, iOS ve iPadOS’in eski sürümleri (18.7.5), macOS Sequoia 15.7.4, macOS Sonoma 14.8.4 ve Safari 26.3 için de güvenlik yamaları yayımlandı.
Saldırı Zinciri ve Teknik Detaylar
Bu sıfırıncı gün açıklarının istismarında tipik saldırı zinciri şu şekilde özetlenebilir:
- Başlangıç: Hedef cihazlara yönelik özel hazırlanmış kötü amaçlı içerik veya uygulama aracılığıyla bellek bozulması tetikleniyor.
- İstismar: dyld veya WebKit bileşenlerindeki bellek hataları kullanılarak rastgele kod çalıştırma sağlanıyor.
- Sonuç: Saldırganlar hedef sistem üzerinde tam kontrol elde edebiliyor, veri sızıntısı veya sistem manipülasyonu gerçekleştirebiliyor.
Bu tür bellek bozulması ve use-after-free açıkları, özellikle EDR (Endpoint Detection and Response) sistemlerinin gelişmiş imza ve davranış analizleriyle tespit edilmesi gereken kritik tehditler arasında yer alıyor.
Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler
- Yayınlanan tüm Apple güncellemelerini öncelikle kritik cihazlarda uygulayın.
- EDR ve SIEM sistemlerinde dyld ve WebKit ile ilişkili anormal davranışları izlemek için kural ve alarmlar oluşturun.
- Web tarayıcılarında kötü amaçlı içeriklerin engellenmesi için içerik filtreleme ve sandboxing uygulamalarını güçlendirin.
- Ağ segmentasyonu ile kritik Apple cihazlarını diğer ağ kaynaklarından izole edin.
- Kullanıcıların e-posta güvenliği farkındalığını artırarak phishing saldırılarına karşı koruma sağlayın.
- Olay müdahale (incident response) planlarınızı güncelleyerek sıfırıncı gün açığı istismarlarına karşı hazırlıklı olun.
- Metal API ve WebKit bileşenlerinde ortaya çıkan güvenlik açıkları için Apple’ın resmi güvenlik bültenlerini düzenli takip edin.
- Çok faktörlü kimlik doğrulama (MFA) ve erişim yönetimi (IAM) politikalarını sıkılaştırarak yetkisiz erişim riskini azaltın.
Güncellemelerin Önemi ve Sonuç
Apple, 2026 yılında aktif olarak kullanılan ilk sıfırıncı gün açığını kapatarak güvenlik duruşunu güçlendirdi. Geçen yıl ise doğada kullanılan dokuz farklı sıfırıncı gün açığını yamalamıştı. Bu durum, Apple ekosisteminde hedefli ve gelişmiş saldırıların devam ettiğine işaret ediyor. Bu nedenle, kurumların ve bireysel kullanıcıların güncellemeleri zamanında uygulaması, sistemlerini korumak için kritik önem taşıyor.