کمیته رکن چهارم – اپل به تازگی از وجود سه آسیبپذیری روز صفر در سیستم عاملهای خود خبر داد که ممکن است مورد سوءاستفاده قرار گرفته باشند.
اپل اعلام کرده است که سه آسیبپذیری روز صفر را برطرف کرده است که عوامل تهدید مختلف از آنها در آیفونها، مکها و دستگاههای آیپد سوءاستفاده کردهاند.
اپل در توصیهنامه امنیت خود اعلام کرده است که هر سه نقص در موتور مرورگر WebKit پیدا شده است. WebKit موتور مرورگر اپل است که بیشتر به دلیل فناوری اساسی در مرورگر وب سافاری و همچنین استفاده در همه مرورگرهای وب در iOS و iPadOS شناخته شده است.
به این ترتیب، WebKit یک هدف جذاب برای عوامل تهدید است که به دنبال آسیبپذیریهایی هستند که میتوانند برای دسترسی به نقطه پایانی مورد استفاده قرار گیرند.
در این نمونه خاص، اپل نقصهایی را پیدا کرد که با شناسه CVE-2023-32409، CVE-2023-28204، و CVE-2023-32373 ردیابی شدهاند.
یکی نقص فرار از جعبه شنی، یکی نقص خواندن خارج از محدوده است که به عوامل تهدید امکان دسترسی بیوقفه به اطلاعات حساس را میدهد و دیگری آسیبپذیری امکان اجرای کد دلخواه را میدهد.
در توصیهنامه امنیتی اپل آمده است: «اپل از گزارشی مبنی بر اینکه ممکن است این مشکل به طور فعال مورد سوءاستفاده قرار گرفته باشد، آگاه است. طبق معمول، جزئیات مربوط به گروههایی که از این نقص استفاده میکنند، یا نحوه عملکرد آنها فاش نشد تا در زمانی که مصرفکنندگان و کسبوکارها دستگاههای خود را بهروزرسانی میکنند، هیچ ایدهای به دیگر عوامل تهدید داده نشود. از این رو، ما نمیدانیم که آیا بدافزار جدیدی یافت شده است یا خیر.»
اپل از اظهار نظر بیشتر در این مورد پرهیز کرده است.
این شرکت تایید کرد که نقصها در macOS Ventura 13.4، iOS و iPadOS 16.5، tvOS 16.5، watchOS 9.5 و Safari 16.5 برطرف شده است.
در اینجا لیست کاملی از تمام دستگاههای آسیبپذیر آمده است:
iPhone 6s (all models), iPhone 7 (all models), iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), iPod touch (7th generation), and iPhone 8 and later
iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Macs running macOS Big Sur, Monterey, and Ventura
Apple Watch Series 4 and later
Apple TV 4K (all models) and Apple TV HD
منبع: افتانا