کمیته رکن چهارم – دولت آمریکا به کارمندان خود دستور داد که ظرف چند هفته آینده آیفونهایشان را بهروزرسانی کنند تا از نقصهای امنیتی دور باشند.
همه آژانسهای غیرنظامی فدرال شعبه اجرایی (FCEB) ایالات متحده آمریکا تا ۱۲ ژوئن امسال فرصت دارند تا وصلههای امنیتی را روی دستگاههای ساخت اپل اعمال کنند تا از کارمندان و سیستمهای خود در برابر آسیبپذیریهایی که ادعا میشود مورد سوءاستفاده قرار میگیرند، محافظت کنند.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) دستور جدیدی صادر کرد و به سازمانهای FCEB میگوید دستگاههای خود را در برابر سه آسیبپذیری شناختهشده CVE-2023-32409، CVE-2023-28204، و CVE-2023-32373 ایمن کنند.
CISA در بیانیهای اعلام کرد: «این نوع آسیبپذیریها بردارهای حمله مکرر برای بازیگران مخرب سایبری هستند و خطرات قابلتوجهی برای شرکت فدرال به همراه دارند.»
اپل اخیراً یک توصیه امنیتی منتشر کرده است که جزئیات کشف سه نقص در موتور مرورگر WebKit خود را شرح میدهد. WebKit موتور مرورگر اپل است که بیشتر به دلیل فناوری اساسی در مرورگر وب سافاری و همچنین استفاده در همه مرورگرهای وب در iOS و iPadOS شناخته شده است.
به این ترتیب، WebKit یک هدف جذاب برای عاملان تهدید است که به دنبال آسیبپذیریهایی هستند که میتوانند برای دسترسی به نقطه پایانی مورد استفاده قرار گیرند.
یکی نقص فرار از جعبه شنی، یکی نقص خواندن خارج از محدوده است که به عوامل تهدید امکان دسترسی بیوقفه به اطلاعات حساس را میدهد و دیگری آسیبپذیری بدون استفاده که امکان اجرای کد دلخواه را میدهد. هر سه آسیبپذیری با بررسیهای بهبود یافته، اعتبارسنجی ورودی و مدیریت حافظه رفع شدند.
دستگاههای تحت تأثیر این آسیبپذیریها عبارتند از:
گوشیها: iPhone 6s (همه مدلها)، iPhone 7 (همه مدلها)، iPhone SE (نسل اول)، iPhod Touch (نسل ۷) و iPhone 8 و نسلهای بعد گوشیهای اپل
تبلتها: iPad Air 2، iPad mini (نسل ۴)، iPad Pro (همه مدلها)، iPad Air 3rd Generation و نسلهای بعدی، iPad 5th Generation و نسلهای بعد و iPad mini 5th Generation
مکبوکها: رایانههای مک که با سیستم عاملهای macOS Big Sur یا Monterey یا Ventura کار میکنند
ساعتها: اپلواچهای سری ۴ و نسلهای بعد
تلویزیونها: Apple TV 4K (همه مدلها) و Apple TV HD
برای ایمن سازی دستگاههای خود، آژانسهای غیرنظامی فدرال شعبه اجرایی باید آنها را به macOS Ventura 13.4، iOS و iPadOS 16.5، tvOS 16.5، watchOS 9.5 و Safari 16.5 بهروز کنند.
در حالی که اپل نگفت چه کسی از این نقصها و برای چه هدفی استفاده میکند، BleepingComputer میگوید با توجه به اینکه این آسیبپذیریها توسط گروه تحلیل تهدیدات گوگل و آزمایشگاه امنیتی عفو بینالملل کشف شدهاند، به احتمال زیاد توسط عوامل تهدید مورد استفاده دولتهای دیگر قرار گرفتهاند.
منبع: افتانا