هشدار روز صفر: انتشار وصله‌های iOS، macOS و Safari برای ۲ نقص فعال توسط اپل

اپل به‌روزرسانی‌های نرم‌افزاری را برای iOS، iPadOS، macOS و مرورگر وب سافاری منتشر کرده است[۱] تا دو نقص امنیتی را برطرف کند که به گفته او در نسخه‌های قدیمی‌تر نرم‌افزارش در سطح اینترنت مورد بهره‌برداری فعال قرار گرفته‌اند.

این آسیب پذیری ها، که هر دو در موتور مرورگر وب WebKit قرار دارند، در زیر توضیح داده شده اند:

• CVE-2023-42916 – یک مشکل خواندن خارج از محدوده که می تواند برای افشای اطلاعات حساس هنگام پردازش محتوای وب مورد سوء استفاده قرار گیرد.
• CVE-2023-42917 – یک اشکال خرابی حافظه که می تواند منجر به اجرای کد دلخواه هنگام پردازش محتوای وب شود.

اپل گفت که از گزارش‌های بهره‌برداری از نقص‌ها «در برابر نسخه‌های iOS قبل از iOS 16.7.1» که در ۱۰ اکتبر ۲۰۲۳ منتشر شد، آگاه است. به Clément Lecigne از گروه تحلیل تهدیدات Google (TAG) برای کشف و گزارش این نقص‌های دوقلو اعتبار داده شده است.

سازنده آیفون اطلاعات بیشتری در مورد این بهره‌برداری در حال انجام ارائه نکرده است، اما از آسیب‌پذیری‌های روز صفر در iOS برای ارائه[۲] نرم‌افزارهای جاسوسی مزدور[۳] که افراد پرخطری مانند فعالان، مخالفان، روزنامه‌نگاران و سیاستمداران را هدف قرار می‌دهند، استفاده شده است.

در اینجا شایان‌ذکر است که هر مرورگر وب شخص ثالثی که برای iOS و iPadOS در دسترس است، از جمله گوگل کروم، موزیلا فایرفاکس، و مایکروسافت اج و سایرین، به دلیل محدودیت‌های[۴] اعمال شده توسط اپل، از موتور رندر WebKit پشتیبانی می‌کند و آن را تبدیل به یک سطح حمله سودآور و گسترده می‌کنند.

به‌روزرسانی‌ها برای دستگاه‌ها و سیستم‌عامل‌های زیر در دسترس هستند:

• iOS 17.1.2 و iPadOS 17.1.2 – آیفون XS و جدیدتر، آی‌پد پرو ۱۲٫۹ اینچی نسل ۲ به بعد، آیپد پرو ۱۰٫۵ اینچی، آیپد پرو ۱۱ اینچی نسل اول و جدیدتر، آیپد ایر نسل ۳ به بعد، آیپد ۶ نسل به بعد و آیپد مینی نسل پنجم به بعد
• macOS Sonoma 14.1.2 – مک‌های دارای macOS Sonoma
• Safari 17.1.2 – مک‌های دارای macOS Monterey و macOS Ventura

با آخرین اصلاحات امنیتی، اپل از ابتدای سال ۲۰۲۳ تا کنون ۱۹ نقص روز صفر بهره برداری فعال[۵] را اصلاح کرده است. همچنین چند روز پس از انتشار وصله برای نقص های شدید در کروم ([۶]CVE-2023-6345) از سوی گوگل که تحت حملات دنیای واقعی قرار گرفت، این مشکل به وجود آمده است و این هفتمین نقص روز صفری است که امسال توسط این شرکت وصله می شود.

منابع

[۱] https://support.apple.com/en-us/HT201222

[۲] https://thehackernews.com/2023/04/nso-group-used-3-zero-click-iphone.html

[۳] https://thehackernews.com/2023/09/latest-apple-zero-days-used-to-hack.html

[۴] https://developer.apple.com/app-store/review/guidelines/#software-requirements:~:text=Apps%20that%20browse%20the%20web%20must%20use%20the%20appropriate%20WebKit%20framework%20and%20WebKit%20JavaScript.

[۵] https://thehackernews.com/2023/10/apple-rolls-out-security-patches-for.html

[۶] https://apa.aut.ac.ir/?p=10115

[۷] https://thehackernews.com/2023/12/zero-day-alert-apple-rolls-out-ios.html