iOS

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) روز چهارشنبه ۳۱ ژانویه یک نقص با شدت بالا که بر iOS، iPadOS، macOS، tvOS و watchOS تأثیر می‌گذارد، بر اساس شواهدی مبنی بر بهره‌برداری فعال، به فهرست آسیب‌پذیری‌های شناخته شده مورد بهره‌برداری خود (KEV[1]) اضافه کرد[۲].

این آسیب‌پذیری که به‌عنوان CVE-2022-48618 ردیابی می‌شود[۳] (امتیاز ۸/۷ در مقیاس CVSS)، مربوط به یک اشکال در مؤلفه هسته است.

اپل در توصیه‌ای گفت: «یک مهاجم با قابلیت خواندن و نوشتن دلخواه ممکن است بتواند تأیید اعتبار اشاره‌گر[۴] را دور بزند.»

سازنده آیفون گفت که این مشکل با بررسی‌های بهبودیافته برطرف شده است. در حال حاضر مشخص نیست که این آسیب‌پذیری چگونه در حملات دنیای واقعی مورداستفاده قرار می‌گیرد.

نکته جالب این است که وصله‌های مربوط به این نقص در ۱۳ دسامبر ۲۰۲۲ با انتشار iOS 16.2، [۵]iPadOS 16.2، [۶]macOS Ventura 13.1، tvOS 16.2[7] و [۸]watchOS 9.2 منتشر شد، اگرچه تنها بیش از یک سال بعد در ۹ ژانویه ۲۰۲۴ به صورت عمومی فاش شد.

شایان‌ذکر است که اپل نقص مشابهی[۹] را در هسته ([۱۰]CVE-2022-32844، امتیاز ۳/۶ در مقیاس CVSS) در iOS 15.6 و iPadOS 15.6 که در ۲۰ ژوئیه ۲۰۲۲ عرضه شد برطرف کرد. هنوز مشخص نیست که آیا این دو آسیب‌پذیری به یکدیگر مربوط هستند یا خیر.

این شرکت در آن زمان گفت: «یک برنامه با قابلیت خواندن و نوشتن هسته دلخواه ممکن است بتواند تأیید اعتبار اشاره‌گر را دور بزند. یک مسئله منطقی با بهبود مدیریت دولتی حل شد.»

باتوجه‌به بهره‌برداری فعال از CVE-2022-48618، CISA توصیه می‌کند که سازمان‌های شعبه اجرایی غیرنظامی فدرال (FCEB) تا ۲۱ فوریه ۲۰۲۴ این اصلاحات را اعمال کنند.

این توسعه همچنین زمانی انجام می‌شود که اپل وصله‌هایی را برای یک نقص امنیتی فعال[۱۱] در موتور مرورگر WebKit (CVE-2024-23222[12]، امتیاز ۸/۸ در مقیاس CVSS) گسترش داد تا شامل هدست Apple Vision Pro خود شود. این اصلاح در [۱۳]visionOS 1.0.2 موجود است.

  منابع

[۱] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[۲] https://www.cisa.gov/news-events/alerts/2024/01/31/cisa-adds-one-known-exploited-vulnerability-catalog

[۳] https://nvd.nist.gov/vuln/detail/CVE-2022-48618

[۴] https://apa.aut.ac.ir/?p=9044

[۵] https://support.apple.com/en-us/HT213530

[۶] https://support.apple.com/en-us/HT213532

[۷] https://support.apple.com/en-us/HT213535

[۸] https://support.apple.com/en-us/HT213536

[۹] https://thehackernews.com/2022/07/apple-releases-security-patches-for-all.html

[۱۰] https://nvd.nist.gov/vuln/detail/CVE-2022-32844

[۱۱] https://apa.aut.ac.ir/?p=10242

[۱۲] https://nvd.nist.gov/vuln/detail/CVE-2024-23222

[۱۳] https://support.apple.com/en-us/HT214070

[۱۴] https://thehackernews.com/2024/02/cisa-warns-of-active-exploitation-of.html