macOS işletim sisteminde tespit edilen bir güvenlik açığı, Apple cihazlarının ciddi güvenlik tehditlerine maruz kalmasına neden oluyordu. Ancak bu sorun, güvenlik yaması ile giderildi.
13 Ocak 2025 tarihinde, Microsoft Threat Intelligence, macOS’ta bir güvenlik açığı olan CVE-2024-44243‘ü açıkladı. Bu açık, Apple’ın Sistem Bütünlüğü Koruması (SIP) mekanizmasını bypass ederek, üçüncü parti çekirdek uzantılarını kullanarak ciddi bir tehdit oluşturuyordu. Şu anda yamalanmış olan bu sorun, saldırganların macOS’un güvenliğini temelden tehlikeye atmasına olanak tanıyabiliyordu.
Sistem Bütünlüğü Koruması, macOS’un kritik sistem dosyalarını ve süreçlerini korumak amacıyla geliştirilmiş bir güvenlik özelliğidir. Bu özellik, yönetici haklarına sahip olan kullanıcıların bile işletim sistemi üzerinde değişiklik yapmalarını kısıtlar.
SIP, hassas sistem dosyalarını korur, rastgele çekirdek kodu çalıştırma işlemlerini engeller ve uygulamaların yetkisiz çekirdek sürücüleri yüklemesine izin vermez.
CVE-2024-44243, saldırganların SIP korumalarını aşmasına olanak tanıyacak şekilde kötü niyetli üçüncü parti çekirdek uzantılarını yükleyerek, sistem üzerinde kontrol sahibi olmalarına yol açıyordu. Kötü niyetli yazılımlar, yetkisiz erişim sağlamak, sürekli zararlı yazılımlar yüklemek, kullanıcı izinlerini devre dışı bırakmak ve güvenlik mekanizmalarını etkisiz hale getirmek için rootkit adı verilen zararlı yazılımları kullanıyordu.
CVE-2024-44243 Nasıl Çalışıyor?
Bu güvenlik açığı, macOS süreçlerinde gömülü olan özel izin olan “entitlements” adı verilen özelliklere dayanıyordu. Bu yetkiler, SIP için kritik öneme sahiptir çünkü bir sürecin ne yapabildiğini veya ne yapamadığını belirler.
Bazı süreçlerin, hata ayıklama veya dosya yönetimi gibi önemli sistem işlevleri için ayrılmış özel entitlements’ları vardır.
Microsoft araştırmacıları, saldırganların özel yetkilere sahip süreçlerden yararlanabileceğini keşfetti. Özellikle, storagekitd adlı daemon; disk durumunu yönetirken geniş yetkilere sahip olabileceğinden dolayı, bu güvenlik açığından faydalanmak için kullanılabiliyordu. Bu daemon, SIP’yi aşabilen çocuk süreçler başlatma yetkisine sahipti.
Saldırganlar, bu daemon aracılığıyla kendi çekirdek uzantılarını yerleştirerek işletim sistemi üzerinde fark edilmeden kontrol elde edebiliyorlardı.
Güvenlik açığı tespit edildikten sonra, Microsoft, Koordine Edilmiş Güvenlik Açığı İfşası (CVD) süreci kapsamında Apple’a durumu bildirdi. Apple, 11 Aralık 2024 tarihli güvenlik güncellemeleriyle CVE-2024-44243 sorununu giderdi ve tüm kullanıcıları derhal Mac’lerini güncellemeye çağırdı.
Mac’inizi Nasıl Korursunuz?
Bu güvenlik açığından korunmanın en iyi yolu, Mac’inizin en son macOS güncellemesi ile çalıştığından emin olmaktır. Apple, bu sorunu 11 Aralık 2024 tarihli güvenlik yamanız ile gidermiştir, bu yüzden güncelleme yapmamışsanız bunu hemen yapmalısınız.
Güncel olup olmadığınızı kontrol etmek için; Sistem Ayarları > Genel > Yazılım Güncellemesine giderek mevcut güncellemeleri yükleyin.
Eğer eski bir Mac kullanıyorsanız ve en son macOS’u desteklemiyorsanız, Apple’ın güvenlik güncellemelerini takip etmeniz önemlidir, böylece hala uygulanabilecek yamaları görebilirsiniz. Ayrıca, üçüncü parti çekirdek uzantıları yüklemekten kaçınmanız da iyi bir fikir olacaktır. Sadece güvenilir kaynaklardan geldiklerinde yüklemeye özen gösterin.
Güvenlik Mekanizması olan SIP’yi yanlışlıkla devre dışı bırakmanız da gerekmez; çünkü bu özellik macOS’ta varsayılan olarak etkin durumdadır ve devre dışı bırakmak için Terminal kullanarak Kurtarma Modu’nda belirli adımlar atmanız gerekmektedir.