کمیته رکن چهارم – با این آسیبپذیری، پس از بارگذاری تصاویر یا فایلهای پیوست مخرب، بدافزار هکرها روی دستگاه شما نصب خواهد شد.
اپل بهروزرسانی امنیتی جدیدی برای سیستمعاملهای iPadOS ،macOS ،iOS و watchOS منتشر کرده است که نقایص امنیتی بدون کلیکی را برطرف میکند که هکرها با کمک آنها از طریق یک «تصویر مخرب» یا هر فایل پیوست دیگری اقدام به نصب بدافزار میکنند.
این دو نقص امنیتی که با نامهای CVE-2023-41064 و CVE-2023-41061 شناخته میشوند، توسط آزمایشگاه میانرشتهای Citizen Lab از دانشگاه تورنتو گزارش شده است. Citizen Lab میگوید که این مشکلات کاملاً جدی هستند، زیرا فقط با بارگذاری یک تصویر یا هر فایل پیوست دیگری در مرورگر سافاری، برنامه Messages، واتساپ و برنامههای دیگر میتوان از آنها سوءاستفاده کرد. بنابراین در بسیاری از مواقع، نصب این بدافزارها حتی بدون هیچ کلیکی انجام میشود.
Citizen Lab همچنین اعلام کرد این باگ که با نام BLASTPASS نیز شناخته میشود، «برای ارائه جاسوسافزار Pegasus گروه NSO» نیز بهکار میرود.
راه مقابله با آسیبپذیری اپل
در ادامه این گزارش گفته شده است کاربرانی که نگران این نقصها هستند، میتوانند با فعالکردن Lockdown Mode در دستگاههای iOS و macOS خود، آن را کماثرتر کنند. استفاده از این حالت بسیاری از انواع فایلهای پیوستشده را مسدود و پیشنمایش لینکها را نیز غیرفعال میکند.
Citizen Lab میگوید: «ما معتقد هستیم و تیم مهندسی و معماری امنیتی اپل نیز این موضوع را به ما تأیید کرده است که Lockdown Mode این حمله خاص را مسدود میکند.»
این بهروزرسانی امنیتی تمام گوشیهای مدلهای آیفون ۶s، آیفون ۷، نسل اول آیفون SE، آیپد ایر ۲، نسل چهارم آیپد مینی و نسل هفتم آیپد تاچ را پوشش میدهد. همچنین هرچند هیچ حملهای برای رایانههای macOS گزارش نشده است، Citizen Lab توضیح میدهد که این نقص از نظر تئوری در این سیستمعامل نیز قابل بهرهبرداری است؛ بنابراین دریافت این بهروزرسانی کاملاً توصیه میشود.
از ابتدای سال جاری میلادی، اپل درمجموع ۱۳ نقص روز صفر را برطرف کرده است که دستگاههای دارای iOS ،macOS ،iPadOS و watchOS را هدف قرار دادهاند.
منبع : دیجیاتو
