Apple, 8 Mayıs’ta yayınlanan bir destek belgesinde, Windows 10 ve Windows 11 kullanıcıları için iTunes uygulamasındaki kritik bir güvenlik açığının, kötü niyetli saldırganların uzaktan rastgele kod yürütmesine olanak tanıyabileceğini doğruladı.
CVE-2024-27793 Nedir?
CVE-2024-27793’ün keşfinin arkasında, korumalı alan kodu katkıları Firefox 117 web tarayıcısında bulunabilen, Austin’deki Texas Üniversitesi’nde doktora öğrencisi ve güvenlik araştırmacısı olan Willy R. Vasquez vardı. Ortak Güvenlik Açığı Puanlama Sistemi v3 kullanılarak kritik olarak derecelendirilen güvenlik açığı , Apple’a göre ” medya örneklerini işlemek ve medya veri kuyruklarını yönetmek ” için nihai olarak kullanılan medya hattını tanımlayan CoreMedia çerçevesini etkiliyor .
Apple, bir soruşturma tamamlanana ve bir çözüm bulunana kadar “güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz”. İyi haber şu ki, böyle bir düzeltme artık mevcut ancak güvenlik açığına ilişkin ayrıntılar çok az kalıyor.
Vasquez bana “CVE-2024-27793, ben ve ortak yazarlarım Stephen Checkoway ve Hovav Shacham’ın H.264 video kod çözücülerini analiz etme araştırmamızda bulduğumuz birçok güvenlik açığından biri” dedi. “H26Forge adında, hatalı biçimlendirilmiş sıkıştırılmış videolar üreten ve bu araç, bir video kod çözücüyü bulanıklaştırmak veya video kod çözücüdeki bir güvenlik açığından yararlanmak için kullanılabilecek bir araç geliştirdik.”
Daha fazla bilgi için Apple’a başvurdum ve daha fazlasını öğrenir öğrenmez bu makaleyi güncelleyeceğim.
Çözüm;
Etkilenen Yazılım: iTunes 12.13.2 for Windows’dan öncesi
Açıklanma Tarihi: 8 Mayıs 2024
CVSS Puanı:
- CVSSv2: 6.4 (Orta)
- CVSSv3: 9.1 (Kritik)
Zafiyet Özeti:
- Bir dosya ayrıştırılırken beklenmedik uygulama sonlandırılması veya keyfi kod çalıştırılması
- Saldırgan, özel olarak hazırlanmış bir dosyayı hedef sisteme yükleyerek bu zafiyeti kullanabilir.
Düzeltme:
- Bu zafiyet, iTunes 12.13.2 for Windows sürümünde düzeltilmiştir.
This Post Has 0 Comments