پیدا کردن ۵ آسیب‌پذیری جدید در وب‌کیت سافاری اپل توسط هوش مصنوعی گوگل با نام «خواب بزرگ»

اپل از عامل امنیت سایبری مبتنی بر هوش مصنوعی گوگل به نام «بیگ اسلیپ» به خاطر کشف پنج نقص امنیتی مختلف در کامپوننت وب‌کیت مورد استفاده در مرورگر وب سافاری تقدیر کرده است که در صورت بهره‌برداری موفقیت‌آمیز، می‌توانند منجر به از کار افتادن مرورگر یا تخریب حافظه شوند. فهرست آسیب‌پذیری‌ها به شرح زیر است:

• CVE-2025-43429 – یک آسیب‌پذیری سرریز بافر که ممکن است منجر به خرابی غیرمنتظره فرآیند هنگام پردازش محتوای وب دستکاری‌شده مخرب شود (از طریق بررسی مرزهای بهبود یافته برطرف شده است)
• CVE-2025-43430 – یک آسیب‌پذیری نامشخص که می‌تواند منجر به خرابی غیرمنتظره فرآیند هنگام پردازش محتوای وب دستکاری‌شده مخرب شود (از طریق مدیریت وضعیت بهبود یافته برطرف شده است)
• CVE-2025-43431 و CVE-2025-43433 – دو آسیب‌پذیری نامشخص که ممکن است منجر به خرابی حافظه هنگام پردازش محتوای وب دستکاری‌شده مخرب شود (از طریق مدیریت وضعیت بهبود یافته برطرف شده است)
• CVE-2025-43434 – یک آسیب‌پذیری استفاده پس از آزادسازی که ممکن است منجر به خرابی غیرمنتظره سافاری هنگام پردازش محتوای وب دستکاری‌شده مخرب شود (از طریق مدیریت وضعیت بهبود یافته برطرف شده است)

اپل روز دوشنبه ۳ نوامبر ۲۰۲۵ به عنوان بخشی از iOS 26.1، iPadOS 26.1 و macOS Tahoe وصله‌هایی برای این نقص‌ها منتشر کرد. ۲۶.۱، tvOS ۲۶.۱، watchOS ۲۶.۱، visionOS ۲۶.۱ و سافاری ۲۶.۱. این به‌روزرسانی‌ها برای دستگاه‌ها و سیستم عامل‌های زیر در دسترس هستند:

• iOS 26.1 و iPadOS 26.1 – آیفون ۱۱ و بالاتر، آیپد پرو ۱۲.۹ اینچی نسل سوم و بالاتر، آیپد پرو ۱۱ اینچی نسل اول و بالاتر، آیپد ایر نسل سوم و بالاتر، آیپد نسل هشتم و بالاتر، و آیپد مینی نسل پنجم و بالاتر
• macOS Tahoe 26.1 – مک‌های دارای macOS Tahoe
• tvOS 26.1 – اپل تی‌وی ۴K (نسل دوم و بالاتر)
• visionOS 26.1 – اپل ویژن پرو (همه مدل‌ها)
• watchOS 26.1 – اپل واچ سری ۶ و بالاتر
• Safari 26.1 – مک‌های دارای macOS Sonoma و macOS Sequoia

Big Sleep که قبلاً Project Naptime نامیده می‌شد، یک عامل هوش مصنوعی است که سال گذشته توسط گوگل به عنوان بخشی از همکاری بین DeepMind و Google Project Zero برای فعال کردن کشف خودکار آسیب‌پذیری راه‌اندازی شد[۱].

اوایل امسال، گوگل اعلام کرد[۲] که چارچوب مبتنی بر مدل زبان بزرگ (LLM) یک نقص امنیتی در SQLite (CVE-2025-6965، امتیاز ۷٫۲ در CVSS) شناسایی کرده است که به گفته‌ی گوگل، در معرض «خطر سوءاستفاده» توسط عوامل مخرب قرار دارد.

در حالی که هیچ یک از آسیب‌پذیری‌های ذکر شده در بولتن‌های امنیتی روز دوشنبه ۳ نوامبر ۲۰۲۵ به عنوان مورد بهره‌برداری در فضای مجازی علامت‌گذاری نشده‌اند، اما همیشه به‌روزرسانی دستگاه‌ها به آخرین نسخه برای محافظت بهینه، یک اقدام خوب است.

  منابع

[۱] https://thehackernews.com/2024/11/googles-ai-tool-big-sleep-finds-zero.html

[۲] https://thehackernews.com/2025/07/google-ai-big-sleep-stops-exploitation.html

[۳] https://thehackernews.com/2025/11/googles-ai-big-sleep-finds-5-new.html