إصلاحات منفصلة لعيوب تصحيح macOS و iOS ذات الصلة في kernel و WebKit والتي يمكن أن تسمح لممثلي التهديد بالسيطرة على الأجهزة وتتعرض للهجوم.
تحث Apple مستخدمي macOS و iPhone و iPad على الفور على تثبيت التحديثات المعنية هذا الأسبوع والتي تتضمن إصلاحات لمدة يومين صفر تحت الهجوم النشط. التصحيحات مخصصة للثغرات الأمنية التي تسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية والاستيلاء على الأجهزة في النهاية.
تتوفر التصحيحات للأجهزة المتأثرة قيد التشغيل iOS 15.6.1 و macOS Monterey 12.5.1 تحديث. تعالج التصحيحات عيبين ، يؤثران بشكل أساسي على أي جهاز Apple يمكنه تشغيل iOS 15 أو إصدار Monterey من نظام تشغيل سطح المكتب ، وفقًا لتحديثات الأمان الصادرة عن Apple يوم الأربعاء.
أحد العيوب هو خطأ النواة (CVE-2022-32894) ، وهو موجود في كل من iOS و macOS. وفقًا لشركة Apple ، فإن هذه "مشكلة كتابة خارج الحدود [التي] تمت معالجتها من خلال فحص الحدود المحسّن."
تسمح الثغرة الأمنية لأحد التطبيقات بتنفيذ تعليمات برمجية عشوائية بامتيازات kernel ، وفقًا لشركة Apple ، والتي قالت ، بطريقة غامضة عادةً ، إن هناك تقريرًا مفاده أنه "ربما تم استغلاله بنشاط".
تم تحديد الخلل الثاني على أنه خطأ في WebKit (تم تتبعه كـ CVE-2022-32893) ، وهي مشكلة كتابة خارج الحدود عالجتها Apple من خلال فحص الحدود المحسّن. يسمح الخلل بمعالجة محتوى الويب الخبيث الذي يمكن أن يؤدي إلى تنفيذ التعليمات البرمجية ، كما تم الإبلاغ عن تعرضه للاستغلال النشط ، وفقًا لشركة Apple. WebKit هو محرك المتصفح الذي يعمل على تشغيل Safari وجميع متصفحات الطرف الثالث الأخرى التي تعمل على iOS.
سيناريو يشبه بيغاسوس
كان الفضل في اكتشاف العيبين ، اللذين لا يُعرف عنهما سوى القليل من الإفصاح عن شركة Apple ، إلى باحث مجهول.
أعرب أحد الخبراء عن قلقه من أن أحدث عيوب Apple "يمكن أن تمنح المهاجمين وصولاً كاملاً إلى الجهاز بشكل فعال" ، وقد يقومون بإنشاء ملف مثل بيغاسوس سيناريو مشابه للسيناريو الذي استهدفت فيه أجهزة APTs التابعة للدولة القومية الأهداف مع برامج التجسس التي قدمتها مجموعة NSO الإسرائيلية من خلال استغلال ثغرة في iPhone.
"بالنسبة إلى معظم الأشخاص: حدّث البرامج بحلول نهاية اليوم ،" تويتد راشيل توباك ، الرئيس التنفيذي لشركة SocialProof Security ، فيما يتعلق بأيام الصفر. وحذر توباك من أنه "إذا كان نموذج التهديد مرتفعًا (صحفي ، ناشط ، مستهدف من قبل الدول القومية ، إلخ): قم بالتحديث الآن".
أيام الصفر تكثر
تم الكشف عن العيوب جنبًا إلى جنب مع أخبار أخرى من Google هذا الأسبوع كان الترقيع خامس يوم صفري له حتى الآن هذا العام لمتصفح Chrome ، وهو خطأ إجباري في تنفيذ التعليمات البرمجية يتعرض لهجوم نشط.
وأشار أندرو والي ، المدير الفني الأول في شركة أندرو والي ، إلى أن الأخبار عن المزيد من نقاط الضعف من كبار بائعي التكنولوجيا الذين تعرضوا للهجوم من قبل الجهات الفاعلة في مجال التهديد ، توضح أنه على الرغم من الجهود الجبارة التي تبذلها شركات التكنولوجيا من الدرجة الأولى لمعالجة المشكلات الأمنية الدائمة في برامجها ، فإنها لا تزال معركة شاقة. Promon، وهي شركة نرويجية لأمن التطبيقات.
وقال إن العيوب في iOS مثيرة للقلق بشكل خاص ، بالنظر إلى انتشار أجهزة iPhone في كل مكان واعتماد المستخدمين المطلق على الأجهزة المحمولة في حياتهم اليومية. ومع ذلك ، فإن المسؤولية لا تقع على البائعين فقط لحماية هذه الأجهزة ولكن أيضًا على المستخدمين ليكونوا أكثر وعياً بالتهديدات الحالية ، كما لاحظ والي.
قال في رسالة بريد إلكتروني إلى Threatpost: "بينما نعتمد جميعًا على أجهزتنا المحمولة ، فإنها ليست معرضة للخطر ، وكمستخدمين نحتاج إلى الحفاظ على حراستنا تمامًا كما نفعل في أنظمة تشغيل سطح المكتب".
في الوقت نفسه ، يجب على مطوري تطبيقات iPhone والأجهزة المحمولة الأخرى أيضًا إضافة طبقة إضافية من عناصر التحكم في الأمان في تقنيتهم بحيث يكونون أقل اعتمادًا على أمان نظام التشغيل للحماية ، نظرًا للعيوب التي تظهر بشكل متكرر ، كما لاحظ Whaley.
وقال: "تُظهر تجربتنا أن هذا لا يحدث بشكل كافٍ ، ومن المحتمل أن يترك البنوك والعملاء الآخرين عرضة للخطر".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://threatpost.com/iphone-users-urged-to-update-to-patch-2-zero-days-under-attack/180448/
- :لديها
- :يكون
- :ليس
- $ UP
- 12
- 15%
- a
- حول المستشفى
- الوصول
- وفقا
- نشط
- بنشاط
- ناشط
- الجهات الفاعلة
- تضيف
- العنوان
- تناولت
- الكل
- السماح
- يسمح
- جنبا إلى جنب
- أيضا
- an
- و
- أندرو
- مجهول
- أي وقت
- التطبيق
- تفاح
- تطبيق
- التطبيقات
- هي
- AS
- At
- مهاجمة
- متاح
- علم
- البنوك والمصارف
- في الأساس
- معركة
- BE
- كان
- يجري
- أفضل
- Beyond
- على حد سواء
- حدود
- المتصفح
- المتصفحات
- علة
- لكن
- by
- CAN
- الرئيس التنفيذي
- CGI
- تدقيق
- الكروم
- متصفح الكروم
- الكود
- الشركات
- حول الشركة
- محتوى
- ضوابط
- وضعت
- خلق
- محصول
- العملاء
- CVE-2022-32893
- يوميا
- يوم
- يوضح
- سطح المكتب
- على الرغم من
- المطورين
- جهاز
- الأجهزة
- مدير المدارس
- إفشاء
- اكتشاف
- do
- على نحو فعال
- جهود
- إما
- مرتفع
- البريد الإلكتروني
- النهاية
- محرك
- كاف
- خاصة
- إلخ
- تنفيذ
- القائمة
- الخبره في مجال الغطس
- خبير
- استغلال
- استغلال
- أعربت
- احتفل على
- بعيدا
- الأزياء
- الخامس
- عيب
- العيوب
- في حالة
- كثيرا
- تبدأ من
- بالإضافة إلى
- منح
- معطى
- شراء مراجعات جوجل
- تجمع
- الحرس
- حدث
- يملك
- he
- مخفي
- لكن
- HTTP
- HTTPS
- محدد
- فورا
- التأثير
- تحسن
- in
- يشمل
- تثبيت
- آيفون
- باد
- اي فون
- إسرائيلي
- قضية
- مسائل
- IT
- انها
- صحافي
- م
- معروف
- آخر
- طبقة
- قيادة
- مغادرة
- أقل
- مثل
- القليل
- حياة
- ماك
- صنع
- المحافظة
- ربما
- الجوال
- أجهزة محمولة
- نموذج
- الأكثر من ذلك
- أكثر
- دولة
- حاجة
- أخبار
- النرويجية
- وأشار
- الآن
- مجموعة NSO
- ملاحظ
- of
- on
- ONE
- فقط
- عبء
- تعمل
- أنظمة التشغيل
- or
- OS
- أخرى
- لنا
- على مدى
- نظرة عامة
- بقعة
- بقع
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- المنشورات
- يحتمل
- القوى
- يقدم
- الامتيازات
- معالجة
- حماية
- الحماية
- بخصوص
- صدر
- اعتماد
- اعتمد
- بقايا
- تقرير
- وذكرت
- الباحث
- هؤلاء
- يجري
- تشغيل
- سفاري
- قال
- نفسه
- سيناريو
- الثاني
- أمن
- تحديثات الأمان
- كبير
- ينبغي
- يظهر
- مماثل
- So
- حتى الآن
- تطبيقات الكمبيوتر
- المحافظة
- أنظمة
- أخذ
- المستهدفة
- الأهداف
- التكنولوجيا
- شركات التكنولوجيا
- تقني
- تكنولوجيا
- أن
- •
- من مشاركة
- هناك.
- تشبه
- هم
- طرف ثالث
- هذا الأسبوع
- هذا العام
- التهديد
- الجهات التهديد
- التهديدات
- الوقت
- إلى
- تيشرت
- اثنان
- في النهاية
- مع
- كشف النقاب
- تحديث
- آخر التحديثات
- وحث
- المستخدمين
- معتاد
- الباعة
- الإصدار
- نقاط الضعف
- الضعف
- الضعيفة
- وكان
- we
- الويب
- طقم الويب
- الأربعاء
- أسبوع
- كان
- التي
- مع
- للعمل
- قلق
- مقلق
- اكتب
- عام
- حتى الآن
- زفيرنت