اپلاپل دور دیگری از وصله‌های امنیتی را برای رفع سه نقص روز صفر که به طور فعال مورد بهره برداری قرار گرفته‌اند منتشر کرده است که بر iOS، iPadOS، macOS، watchOS و Safari تأثیر می‌گذارد و مجموع باگ‌های روز صفر کشف‌شده در نرم‌افزارهای خود در سال جاری را به ۱۶رسانده است.

لیست این آسیب پذیری های امنیتی به شرح زیر است:

  • CVE-2023-41991 – یک مشکل اعتبار سنجی گواهی در چارچوب امنیتی که می تواند به یک برنامه مخرب اجازه دهد اعتبار امضا را دور بزند.
  • CVE-2023-41992 – یک نقص امنیتی در هسته که می تواند به مهاجم محلی اجازه دهد تا امتیازات خود را افزایش دهد.
  • CVE-2023-41993 – یک نقص WebKit که می تواند منجر به اجرای کد دلخواه هنگام پردازش محتوای وب ساخته شده خاص شود.

اپل جزئیات بیشتری را ارائه نکرده است که مانع از اذعان به اینکه “این مشکل ممکن است به طور فعال علیه نسخه های iOS قبل از iOS 16.7 مورد بهره برداری قرار گرفته باشد.” شود.

به‌روزرسانی‌ها برای دستگاه‌ها و سیستم‌عامل‌های زیر در دسترس هستند:

  • iOS 16.7 و iPadOS 16.7، iPhone 8 و بالاتر، iPad Pro (همه مدل ها)، iPad Air نسل ۳ به بعد، iPad نسل ۵ به بعد، و iPad mini نسل ۵ به بعد
  • iOS 17.0.1 و iPadOS 17.0.1 – آیفون XS و جدیدتر، آیپد پرو ۱۲٫۹ اینچی نسل ۲ به بعد، آیپد پرو ۱۰٫۵ اینچی، آیپد پرو ۱۱ اینچی نسل اول و جدیدتر، آیپد ایر نسل ۳ به بعد، آیپد ۶ نسل و بعد، آیپد مینی نسل پنجم و بعد
  • macOS Monterey 12.7 و macOS Ventura 13.6
  • watchOS 9.6.3 و watchOS 10.0.1 – Apple Watch Series 4 و بالاتر
  • Safari 16.6.1 – macOS Big Sur و macOS Monterey

Bill Marczak از آزمایشگاه شهروند در دانشگاه مانک تورنتو و Maddie Stone از گروه تحلیل تهدیدات گوگل (TAG) با کشف و گزارش این نقص‌ها اعتبار دارند که نشان می‌دهد ممکن است به‌عنوان بخشی از نرم‌افزارهای جاسوسی بسیار هدف‌مند مورد بهره‌برداری قرار گرفته باشند.

این افشاگری دو هفته پس از آن صورت می‌گیرد که اپل دو نقص روز صفر دیگر (CVE-2023-41061 و CVE-2023-41064) را که به‌عنوان بخشی از زنجیره بهره‌برداری zero-click iMessage به نام BLASTPASS برای استقرار یک نرم‌افزار جاسوسی مزدور زنجیر شده بودند را حل‌وفصل کرد[۱].

پس از آن، هم گوگل[۲] و هم موزیلا[۳] اصلاحات shipping حاوی یک نقص امنیتی (CVE-2023-4863) بود که می‌تواند منجر به اجرای کد دلخواه هنگام پردازش یک تصویر ساخته‌شده خاص شود.

به گفته Ben Hawkes، بنیان‌گذار Isosceles و محقق سابق پروژه صفر گوگل، شواهدی وجود دارد که نشان می‌دهد هم CVE-2023-41064، یک آسیب‌پذیری سرریز بافر در چارچوب تجزیه تصویر اپل ورودی/خروجی تصویر، و هم CVE-2023-4863، یک آسیب‌پذیری سرریز بافر پشته در کتابخانه تصویر WebP (libwebp)، می‌توانند به همین باگ اشاره کنند.

Rezilion، در تحلیلی[۴] که روز پنجشنبه ۲۱ سپتامبر منتشر شد، فاش کرد که کتابخانه libwebp در چندین سیستم‌عامل، بسته‌های نرم‌افزاری، برنامه‌های لینوکس و impageهای container استفاده می‌شود که نشان می‌دهد دامنه این آسیب‌پذیری بسیار گسترده‌تر از آنچه در ابتدا تصور می‌شد است.

Hawkes گفت[۵]: «خبر خوب این است که به نظر می‌رسد این باگ به‌درستی در libwebp بالا وصله شده است، و این وصله راه خود را به هر جایی که باید برود باز می‌کند. خبر بد این است که libwebp در بسیاری از مکان‌ها استفاده می‌شود و ممکن است مدتی طول بکشد تا این وصله همه‌گیر برسد.»

  منابع

[۱] https://apa.aut.ac.ir/?p=9947

[۲] https://apa.aut.ac.ir/?p=9950

[۳] https://thehackernews.com/2023/09/mozilla-rushes-to-patch-webp-critical.html

[۴] https://www.rezilion.com/blog/rezilion-researchers-uncover-new-details-on-severity-of-google-chrome-zero-day-vulnerability-cve-2023-4863

[۵] https://blog.isosceles.com/the-webp-0day

[۶] https://thehackernews.com/2023/09/apple-rushes-to-patch-3-new-zero-day.html