کمیته رکن چهارم – اپل برای رفع دو آسیبپذیری بحرانی بهروزرسانی امنیتی اضطراری منتشر کرد.
شرکت اپل بهروزرسانیهای امنیتی اضطراری را برای iOS، iPadOS، macOS و watchOS منتشر کرد تا دو آسیبپذیری روز صفر اکسپلویتشده توسط نرمافزار Pegasus گروه NSO را برطرف کند.
این دو آسیب پذیری با عنوان CVE-2023-41064 و CVE-2023-41061 ارزیابی شده اند. این اکسپلویت شامل پیوستهای PassKit بود که حاوی تصاویر مخربی بود که از یک حساب کاربری iMessage مهاجم برای قربانی ارسال میشد. زنجیره اکسپلویت قادر بود آیفون هایی را که آخرین نسخه iOS (16.6) را اجرا می کردند، بدون هیچگونه تعاملی از جانب قربانی به خطر بیندازد. آسیبپذیری با شناسه CVE-2023-41061، یک مشکل اعتبارسنجی در Wallet است که میتواند منجر به اجرای کد، هنگام مدیریت یک پیوست مخرب شود.
آسیبپذیری با شناسه CVE-2023-41064، یک مشکل سرریز بافر در مؤلفه Image I/O است که میتواند منجر به اجرای کد، هنگام پردازش یک تصویر ساختهشده به طور مخرب شود.
این آسیبپذیری نسخه iPhone 8 و بعدتر، همه مدلهای iPad Pro، iPad Air 3rd و بعدتر، macOS Ventura، Apple Watch Series4 و بعدتر را تحت تاثیر گذاشته است.
اپل از مشتریانش خواست که فوراً دستگاههای خود را بهروزرسانی کنند و از افرادی که به دلیل هویت یا حرفه خود در معرض حملات هدفمند قرار دارند، درخواست شده است حالت Lockdown را فعال کنند.
منبع: افتانا
