هم‌اکنون وصله کنید: iOS ،iPadOS ،macOS و Safari اپل تحت حمله با یک نقص جدید روز صفر

اپل روز دوشنبه ۱۳ فوریه ۲۰۲۳ به‌روزرسانی‌های امنیتی را برای iOS، [۱]iPadOS، macOS[2] و [۳]Safari ارائه کرد تا یک نقص روز صفر را برطرف کند که گفته بود به‌طور فعال در سطح اینترنت مورد بهره‌برداری قرار گرفته است.

این مشکل که به‌عنوان CVE-2023-23529 پیگیری می‌شود، مربوط به یک اشکال type confusion در موتور مرورگر WebKit است که می‌تواند هنگام پردازش محتوای وب ساخته‌شده به‌طور مخرب فعال و منجر به اجرای کد دلخواه شود.

سازنده آیفون دراین‌باره گفت که این اشکال با بررسی‌های بهبودیافته برطرف شده است و افزود که “از گزارشی آگاه است که ممکن است به‌طور فعال از این مشکل بهره‌برداری شده باشد.” یک محقق ناشناس مسئول گزارش این نقص شده است.

هنوز مشخص نیست که این آسیب‌پذیری چگونه در حملات دنیای واقعی مورد بهره‌برداری قرار می‌گیرد، اما این دومین نقص اشتباهی است که به‌طور فعال در WebKit مورد بهره‌برداری قرار می‌گیرد که پس از CVE-2022-42856 که در دسامبر ۲۰۲۲ وصله شد[۴]، توسط اپل اصلاح می‌شود.

نقص‌های WebKit همچنین به این دلیل قابل‌توجه است که روی هر مرورگر وب شخص ثالثی که برای iOS و iPadOS در دسترس است، تأثیر می‌گذارد، زیرا محدودیت‌هایی در اپل وجود دارد که فروشندگان مرورگر را ملزم به استفاده از framework رندر یکسان می‌کند.

همچنین توسط این شرکت یک مشکل بدون استفاده در هسته (CVE-2023-23514) وجود دارد که می‌تواند به یک برنامه سرکش اجازه دهد تا کد دلخواه را با بالاترین امتیازات اجرا کند.

Xinru Chi از Pangu Lab و Ned Williamson از Google Project Zero مسئول گزارش این مشکل هستند. اپل گفت که این آسیب‌پذیری را با بهبود مدیریت حافظه برطرف کرده است.

به‌طور جداگانه، آخرین به‌روزرسانی macOS همچنین یک نقص حریم خصوصی را در Shortcut ها وصله می‌کند که یک برنامه دارای دژافزار می‌تواند از آن برای “مشاهده داده‌های کاربر محافظت نشده” استفاده کند. اپل خاطرنشان کرد که این مشکل با مدیریت بهتر فایل‌های موقت برطرف شده است.

به کاربران توصیه می‌شود برای کاهش خطرات احتمالی، به iOS 16.3.1، iPadOS 16.3.1، macOS Ventura 13.2.1 و Safari 16.3.1 به‌روزرسانی کنند. به‌روزرسانی‌ها برای دستگاه‌های زیر در دسترس هستند:

• آیفون ۸ به بعد، آیپد پرو (همه مدل‌ها)، آیپد ایر نسل ۳ به بعد، آیپد نسل ۵ به بعد، و آیپد مینی نسل ۵ به بعد
• مک‌های دارای macOS Ventura، macOS Big Sur و macOS Monterey

اپل در سال ۲۰۲۲ درمجموع ۱۰ آسیب‌پذیری روز صفر نرم‌افزاری خود را اصلاح کرد که ۹ مورد از آن‌ها به‌عنوان فعال توسط عوامل تهدید مورد بهره‌برداری قرارگرفته‌اند. چهار مورد از این نقص‌ها در WebKit کشف شده است.

منابع

[۱] https://support.apple.com/en-us/HT213635

[۲] https://support.apple.com/en-us/HT213633

[۳] https://support.apple.com/en-us/HT213638

[۴] https://apa.aut.ac.ir/?p=9384

[۵] https://thehackernews.com/2023/02/patch-now-apples-ios-ipados-macos-and.html