خبرکاو:

اپل دو نقص امنیتی با شدت بالا را برطرف کرده است که به عوامل تهدید اجازه می‌دهد کد دلخواه را روی دستگاه‌های آسیب‌پذیر اجرا کنند و به طور بالقوه به آنها اجازه می‌دهد محتوای حساس را بدزدند یا حتی کل دستگاه را ربودند.

اولین مورد که با نام CVE-2023-23514 ردیابی می‌شود، یک استفاده پس از صدور رایگان است و هکرها را قادر می‌سازد تا کد دلخواه را با امتیازات هسته اجرا کنند و بر آیفون‌های 8 و بالاتر، همه مدل‌های آیپد پرو، آی‌پد ایر نسل سوم و جدیدتر، نسل پنجم آیپد تأثیر بگذارند. و بعد از آن، و آیپد مینی نسل پنجم و دستگاه های بعدی.

این نقص توسط Xinru Chi از آزمایشگاه پانگو و ند ویلیامسون از Google Project Zero کشف شد و طبق گزارش ها با مدیریت بهتر حافظه برطرف شد.

به روز رسانی سیستم عامل

نقص دوم که با نام CVE-2023-23529 ردیابی می شود، در WebKit، موتور مرورگر اپل که در ارائه Safari آن استفاده می شود، یافت شد.

اپل توضیح داد که این یک مشکل سردرگمی نوع بود که با تحلیل های بهبودیافته برطرف شد، زیرا اپل توضیح داد که با پردازش مخرب محتوای وب ساخته شده (در برگه جدید باز می شود) ، دستگاه ممکن است در نهایت اجازه اجرای کد دلخواه توسط اشخاص ثالث را بدهد.

این نقص که اپل او میگوید توسط یک محقق ناشناس کشف شد، آیفون‌های ۸ و جدیدتر، همه مدل‌های آی‌پد پرو، آی‌پد ایر نسل ۳ به بعد، آی‌پد نسل ۵ به بعد، و آی‌پد مینی نسل پنجم به بعد را تحت تأثیر قرار داد.

اپل تأیید کرد که هر دو نقص به طور فعال مورد سوء استفاده قرار می گیرند، به این معنی که هکرها از مشکلات آگاه هستند و از آنها برای دسترسی به دستگاه ها و سرقت محتوای ارزشمند استفاده می کنند.

پس ، بسیار مهم است که کاربران در اسرع وقت اصلاحات را اعمال کنند و به iOS 16.3.1 و iPadOS 16.3.1 ارتقا دهند.

موتور مرورگر اپل، WebKit، یک عامل حمله محبوب برای هکرهایی است که به دنبال نفوذ به دستگاه های اپل هستند، زیرا به طور بالقوه امکان دسترسی به بقیه داده های دستگاه را فراهم می کند.

به گزارش TechCrunch، در سال 2022، اپل 9 باگ iOS را اصلاح کرد که "ممکن است به طور فعال مورد سوء استفاده قرار گرفته باشند" که چهار مورد از آنها در WebKit یافت شده بود. از بقیه، سه مورد در هسته، یکی در AppleAVD و یکی در IOMobileFrameBuffer یافت شد.

از طریق: TechCrunch (در برگه جدید باز می شود)