اپل 3 آسیب پذیری روز صفر دیگر را برطرف کرد

اپل در یک به روز رسانی امنیتی اضطراری شناسایی کرده است سه آسیب‌پذیری روز صفر بر آیفون ها و محصولات مک که به طور فعال مورد سوء استفاده قرار می گیرند، تاثیر می گذارد.

یک آسیب پذیری که به عنوان ردیابی شده است CVE-2023-41992، نقصی است که در چارچوب هسته یافت شده است که عوامل تهدید می توانند از آن برای افزایش امتیازات سوء استفاده کنند. دو مورد از آسیب پذیری های دیگر، به عنوان ردیابی شده است CVE-2023-41993 و CVE-2023-41991. به ترتیب در موتور مرورگر WebKit و چارچوب امنیتی یافت می شوند. بر اساس توصیه اپل، عاملان تهدید در صورتی که از این آسیب‌پذیری‌ها سوء استفاده کنند، به طور بالقوه توانایی «دور زدن اعتبار امضا» و همچنین «به‌دست آوردن اجرای کد دلخواه از طریق صفحات وب ساخته‌شده به‌طور مخرب» را به دست می‌آورند.

دستگاه‌هایی که تحت تأثیر این روزهای صفر قرار می‌گیرند، بین مدل‌های قدیمی‌تر و جدیدتر محصولات اپل، از جمله آیفون 8 و جدیدتر، متفاوت هستند. آیپد مینی نسل پنجم به بعد؛ هر مکی که روی macOS Monterey یا جدیدتر اجرا می شود. و اپل واچ سری 5 به بعد.

این مشکلات در iOS 16.7، iPadOS 16.7، OS 17.0.1، iPadOS 17.0.1 و Safari 16.6.1 رفع شده است و اولین بار کشف و گزارش شد توسط Bill Marczak در Citizen Lab و Maddie Stone در گروه تحلیل تهدیدات گوگل. Citizen Lab معمولاً پرونده‌های جاسوس‌افزار را بررسی می‌کند، اما تاکنون هیچ جزئیاتی در مورد ماهیت سوء استفاده‌ها یا حملات درون وحشی در دسترس نیست. 

"اپل از گزارشی آگاه است مبنی بر اینکه این مشکل ممکن است به طور فعال در برابر نسخه‌های iOS قبل از iOS 16.7 مورد سوء استفاده قرار گرفته باشد.