أصدرت شركة Apple تحديثات أمنية طارئة لإصلاح اثنتين من نقاط الضعف الحرجة لنظام التشغيل iOS والتي يستخدمها المهاجمون السيبرانيون بشكل نشط لاختراق مستخدمي iPhone على مستوى النواة.
وفقًا نشرة أبل الأمنية تم إصداره في 5 مارس، وتسمح الأخطاء المتعلقة بفساد الذاكرة لممثلي التهديد الذين يتمتعون بقدرات قراءة وكتابة عشوائية للنواة لتجاوز حماية ذاكرة النواة:
-
CVE-2024-23225: موجود في iOS Kernel
-
CVE-2024-23296: موجود في مكون RTKit
في حين رفضت شركة Apple تقديم تفاصيل إضافية، يوضح كريشنا فيشنوبوتلا، نائب رئيس استراتيجية المنتج في شركة Zimperium لأمن الأجهزة المحمولة، أن مثل هذه العيوب تؤدي إلى تفاقم المخاطر على الأفراد والمؤسسات.
ويوضح قائلاً: "تعد النواة الموجودة على أي نظام أساسي أمرًا بالغ الأهمية لأنها تدير جميع عمليات نظام التشغيل وتفاعلات الأجهزة". "يمكن للثغرة الأمنية التي تسمح بالوصول التعسفي أن تمكن المهاجمين من تجاوز آليات الأمان، مما قد يؤدي إلى اختراق النظام بالكامل وانتهاكات البيانات وإدخال البرامج الضارة."
وليس ذلك فحسب، بل تعد تجاوزات حماية ذاكرة kernel بمثابة برقوق خاص لها المهاجمون الإلكترونيون الذين يركزون على شركة Apple.
يقول جون بامبينيك، رئيس شركة Bambenek Consulting: "تتمتع Apple بوسائل حماية قوية لمنع التطبيقات من الوصول إلى البيانات والوظائف الخاصة بالتطبيقات الأخرى أو النظام". "يتيح تجاوز حماية kernel بشكل أساسي للمهاجم الوصول إلى هاتف rootkit حتى يتمكن من الوصول إلى كل شيء مثل نظام تحديد المواقع العالمي (GPS)، والكاميرا والميكروفون، والرسائل المرسلة والمستلمة بنص واضح (على سبيل المثال، Signal)."
أخطاء Apple: ليس فقط من أجل Rootkiting على مستوى الدولة القومية
يبلغ عدد أيام الصفر المستغلة لشركة Apple حتى الآن ثلاثة أيام: في يناير، قامت شركة التكنولوجيا العملاقة بتصحيح خطأ تم استغلال خطأ اليوم صفر بشكل نشط في محرك متصفح Safari WebKit (CVE-2024-23222)، خطأ في ارتباك النوع.
ليس من الواضح من يقوم بالاستغلال في هذه الحالة، لكن مستخدمي iOS أصبحوا من أهم الأهداف لبرامج التجسس في الأشهر الأخيرة. في العام الماضي، اكتشف باحثون في كاسبرسكي سلسلة من عيوب Apple Zero-day (CVE-2023-46690، CVE-2023-32434، CVE-2023-32439) المرتبطة بـ عملية التثليث، وهي حملة تجسس إلكترونية متطورة، من المحتمل أن ترعاها الدولة، نشرت عمليات تجسس TriangleDB على أجهزة iOS في مجموعة متنوعة من الأهداف الحكومية والشركات. والدول القومية معروفة باستخدامها صفر يوم لإسقاط برنامج التجسس Pegasus التابع لمجموعة NSO على أجهزة iOS - بما في ذلك في الآونة الأخيرة حملة ضد المجتمع المدني الأردني.
ومع ذلك، يقول جون غالاغر، نائب رئيس مختبرات Viakoo في Viakoo، إن طبيعة المهاجمين يمكن أن تكون أكثر دنيوية - وأكثر خطورة على المنظمات اليومية.
ويقول: "إن نقاط الضعف في نظام التشغيل iOS لا تقتصر على هجمات برامج التجسس التي ترعاها الدولة، مثل برنامج Pegasus"، مضيفًا أن القدرة على تجاوز حماية ذاكرة kernel مع الحصول على امتيازات القراءة والكتابة "أمر خطير للغاية". ويشير إلى أن "أي جهة تهديد تهدف إلى التخفي سترغب في الاستفادة من عمليات استغلال يوم الصفر، خاصة في الأجهزة المستخدمة بكثرة، مثل الهواتف الذكية، أو الأنظمة عالية التأثير، مثل أجهزة وتطبيقات إنترنت الأشياء".
يجب على مستخدمي Apple التحديث إلى الإصدارات التالية لتصحيح الثغرات الأمنية من خلال التحقق المحسن من صحة الإدخال: iOS 17.4 وiPadOS 17.4 وiOS 16.76 وiPad 16.7.6.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/ics-ot-security/patch-now-apple-zero-day-exploits-bypass-kernel-security
- :لديها
- :يكون
- :ليس
- 16
- 17
- 7
- a
- ماهرون
- الوصول
- الوصول
- بنشاط
- الجهات الفاعلة
- مضيفا
- إضافي
- ضد
- تهدف
- الكل
- السماح
- يسمح
- an
- و
- أي وقت
- تفاح
- التطبيقات
- التطبيقات
- التعسفي
- هي
- AS
- At
- مهاجم
- الهجمات
- BE
- لان
- أصبح
- يجري
- على حد سواء
- مخالفات
- المتصفح
- علة
- البق
- لكن
- تجنب
- وكاميرا
- الحملات
- CAN
- قدرات
- حقيبة
- دائرة
- مدني
- إكمال
- حل وسط
- ارتباك
- متصل
- الاستشارات
- منظمة
- استطاع
- حرج
- حاسم
- خطير
- البيانات
- خرق البيانات
- نشر
- تفاصيل
- الأجهزة
- اكتشف
- فعل
- قطرة
- e
- حالة طوارئ
- تمكين
- خطأ
- خاصة
- أساسيا
- كل يوم
- كل شىء
- ويوضح
- استغلال
- استغلال
- مآثر
- بعيدا
- حل
- العيوب
- متابعيك
- في حالة
- النموذج المرفق
- وجدت
- تبدأ من
- وظيفة
- يحصل
- عملاق
- حكومة
- نظام تحديد المواقع
- تجمع
- أجهزة التبخير
- يملك
- وجود
- he
- جدا
- HTTPS
- i
- اي كون
- تحسن
- in
- بما فيه
- الأفراد
- إدخال
- التفاعلات
- المُقدّمة
- آيفون
- قام المحفل
- أجهزة IOT
- باد
- iPadOS
- اي فون
- IT
- يناير
- جون
- JPG
- م
- Kaspersky
- مختبرات
- اسم العائلة
- العام الماضي
- قيادة
- يتيح
- مستوى
- الرافعة المالية
- مثل
- على الأرجح
- البرمجيات الخبيثة
- يدير
- مارس
- آليات
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- رسائل
- هيئة التصنيع العسكري
- الجوال
- الأمن موبايل
- المقبلة.
- الأكثر من ذلك
- الطبيعة
- ملاحظة
- الآن
- عدد
- of
- عرض
- on
- فقط
- تعمل
- نظام التشغيل
- عمليات
- or
- المنظمات
- أخرى
- بقعة
- بيغاسوس
- للهواتف
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- يحتمل
- يقدم
- رئيس
- منع
- الامتيازات
- المنتج
- مزود
- عرض
- تلقى
- الأخيرة
- صدر
- الباحثين
- المخاطرة
- s
- سفاري
- يقول
- أمن
- أرسلت
- مسلسلات
- جدي
- ينبغي
- سيجنل
- الهواتف الذكية
- So
- حتى الآن
- متطور
- تختص
- تجسس
- برامج التجسس
- المدرجات
- الشبح الأسود
- الإستراتيجيات
- قوي
- هذه
- نظام
- أنظمة
- الأهداف
- التكنولوجيا
- عملاق التكنولوجيا
- أن
- •
- تشبه
- هم
- التهديد
- الجهات التهديد
- ثلاثة
- إلى
- تيشرت
- صحيح
- اثنان
- نوع
- كشف
- تحديث
- آخر التحديثات
- مستعمل
- المستخدمين
- استخدام
- التحقق من صحة
- تشكيلة
- الإصدارات
- رذيلة
- Vice President
- نقاط الضعف
- الضعف
- تريد
- طقم الويب
- معروف
- في حين
- من الذى
- سوف
- مع
- اكتب
- عام
- زفيرنت
- علة اليوم صفر
- نقاط الضعف في اليوم صفر