اصلاحات جداگانه برای macOS و iOS نقصهای مربوطه را در هسته و WebKit اصلاح میکند که میتواند به عوامل تهدید اجازه دهد دستگاهها را کنترل کنند و مورد حمله قرار گیرند.
اپل از کاربران macOS، iPhone و iPad میخواهد فوراً بهروزرسانیهای مربوطه را در این هفته نصب کنند که شامل اصلاحاتی برای دو روز صفر تحت حمله فعال است. وصلهها برای آسیبپذیریهایی هستند که به مهاجمان اجازه میدهند کد دلخواه را اجرا کنند و در نهایت دستگاهها را تصاحب کنند.
وصله ها برای دستگاه های اجرا شده در دسترس هستند در iOS 15.6.1 و macOS Monterey 12.5.1. بر اساس بهروزرسانیهای امنیتی منتشر شده توسط اپل چهارشنبه، وصلهها دو نقص را برطرف میکنند، که اساساً بر هر دستگاه اپل که میتواند iOS 15 یا نسخه Monterey سیستمعامل دسکتاپ خود را اجرا کند، تأثیر میگذارد.
یکی از ایرادات باگ کرنل است (CVE-2022-32894) که هم در iOS و هم در macOS وجود دارد. به گفته اپل، این یک "مشکل نوشتن خارج از محدوده است که با بررسی بهبود یافته کرانه ها برطرف شد."
به گفته اپل، این آسیبپذیری به برنامهای اجازه میدهد تا کد دلخواه را با امتیازات هسته اجرا کند، که در حالت معمول مبهم، گزارشی وجود دارد که «ممکن است به طور فعال مورد سوء استفاده قرار گرفته باشد».
نقص دوم بهعنوان یک باگ WebKit شناخته میشود (بهعنوان CVE-2022-32893 ردیابی میشود)، که یک مشکل نوشتن خارج از محدوده است که اپل با بررسی کرانههای بهبودیافته آن را برطرف کرد. به گفته اپل، این نقص امکان پردازش محتوای وب ساخته شده به طور مخرب را فراهم می کند که می تواند منجر به اجرای کد شود و همچنین گزارش شده است که تحت سوء استفاده فعال است. WebKit موتور مرورگری است که سافاری و سایر مرورگرهای شخص ثالثی را که روی iOS کار میکنند، نیرو میدهد.
سناریوی شبیه پگاسوس
کشف هر دو نقص، که اطلاعات کمی فراتر از افشای اپل در مورد آنها وجود دارد، به یک محقق ناشناس نسبت داده شد.
یکی از کارشناسان ابراز نگرانی کرد که آخرین نقص های اپل "به طور موثر می تواند به مهاجمان دسترسی کامل به دستگاه را بدهد." شبیه پگاسوس سناریویی شبیه به سناریویی است که در آن APTهای دولت-ملت اهداف را به رگبار بستند با نرم افزارهای جاسوسی توسط گروه اسرائیلی NSO با سوء استفاده از یک آسیب پذیری آیفون ساخته شده است.
"برای اکثر مردم: نرم افزار را تا پایان روز به روز کنید." توییت راشل توباک، مدیرعامل SocialProof Security، در مورد روزهای صفر. توباک هشدار داد: «اگر مدل تهدید (روزنامهنگار، فعال، هدف دولتهای ملی و غیره) بالا رفته است.
روز صفر فراوان است
این نقص ها در کنار سایر اخبار گوگل در این هفته نشان داده شد داشت وصله می کرد پنجمین روز صفر خود تا کنون در سال جاری برای مرورگر کروم خود، یک باگ اجرای کد دلخواه تحت حمله فعال است.
اندرو ویلی، مدیر فنی ارشد در گفت: اخبار آسیبپذیریهای بیشتر فروشندگان فناوری برتر توسط عوامل تهدید نشان میدهد که علیرغم بهترین تلاشهای شرکتهای فناوری سطح بالا برای رسیدگی به مسائل امنیتی همیشگی در نرمافزارشان، این یک نبرد دشوار باقی مانده است. Promon، یک شرکت امنیت برنامه های نروژی.
او گفت که با توجه به فراگیر بودن آیفون ها و وابستگی کامل کاربران به دستگاه های تلفن همراه برای زندگی روزمره، نقص های iOS به ویژه نگران کننده است. با این حال، ویلی مشاهده کرد، وظیفه محافظت از این دستگاهها تنها بر عهده فروشندگان نیست، بلکه کاربران باید از تهدیدات موجود بیشتر آگاه شوند.
او در ایمیلی به Threatpost گفت: «در حالی که همه ما به دستگاههای تلفن همراه خود متکی هستیم، آنها آسیبناپذیر نیستند و به عنوان کاربر، باید مانند سیستمعاملهای دسکتاپ مراقب خود باشیم.»
ویلی مشاهده کرد، در عین حال، توسعه دهندگان برنامهها برای آیفون و سایر دستگاههای تلفن همراه نیز باید یک لایه اضافی از کنترلهای امنیتی را در فناوری خود اضافه کنند تا با توجه به نقصهایی که اغلب ظاهر میشوند، کمتر به امنیت سیستم عامل برای محافظت متکی باشند.
او گفت: «تجربه ما نشان میدهد که این به اندازه کافی اتفاق نمیافتد و به طور بالقوه بانکها و سایر مشتریان را آسیبپذیر میکند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://threatpost.com/iphone-users-urged-to-update-to-patch-2-zero-days-under-attack/180448/
- : دارد
- :است
- :نه
- $UP
- 12
- ٪۱۰۰
- a
- درباره ما
- دسترسی
- مطابق
- فعال
- فعالانه
- فعال
- بازیگران
- اضافه کردن
- نشانی
- خطاب
- معرفی
- اجازه دادن
- اجازه می دهد تا
- در کنار
- همچنین
- an
- و
- اندرو
- ناشناس
- هر
- نرم افزار
- اپل
- کاربرد
- برنامه های
- هستند
- AS
- At
- حمله
- در دسترس
- مطلع
- بانکداری
- اساسا
- نبرد
- BE
- بوده
- بودن
- بهترین
- خارج از
- هر دو
- مرزها
- مرورگر
- مرورگرهای
- اشکال
- اما
- by
- CAN
- مدیر عامل شرکت
- CGI
- بررسی
- کروم
- مرورگر کروم
- رمز
- شرکت
- شرکت
- محتوا
- گروه شاهد
- طراحی شده
- ایجاد
- محصول
- مشتریان
- CVE-2022-32893
- روزانه
- روز
- نشان می دهد
- دسکتاپ
- با وجود
- توسعه دهندگان
- دستگاه
- دستگاه ها
- مدیر
- افشاء
- کشف
- do
- به طور موثر
- تلاش
- هر دو
- مرتفع
- پست الکترونیک
- پایان
- موتور
- کافی
- به خصوص
- و غیره
- اجرا کردن
- اعدام
- موجود
- تجربه
- کارشناس
- بهره برداری
- سوء استفاده قرار گیرد
- بیان
- اضافی
- بسیار
- روش
- پنجم
- نقص
- معایب
- برای
- غالبا
- از جانب
- کامل
- دادن
- داده
- گوگل
- گروه
- گارد
- اتفاق می افتد
- آیا
- he
- پنهان
- اما
- HTTP
- HTTPS
- شناسایی
- بلافاصله
- تأثیر
- بهبود یافته
- in
- شامل
- نصب
- IOS
- اپل
- آیفون
- اسرائیلی
- موضوع
- مسائل
- IT
- ITS
- روزنامه نگار
- تنها
- شناخته شده
- آخرین
- لایه
- رهبری
- ترک
- کمتر
- پسندیدن
- کوچک
- زندگی
- MacOS در
- ساخته
- حفظ
- قدرت
- موبایل
- دستگاه های تلفن همراه
- مدل
- بیش
- اکثر
- ملت
- نیاز
- اخبار
- نروژی
- اشاره کرد
- اکنون
- NSO گروه
- مشاهده
- of
- on
- ONE
- فقط
- تعهد
- عملیاتی
- سیستم های عامل
- or
- OS
- دیگر
- ما
- روی
- مروری
- وصله
- پچ های
- افلاطون
- هوش داده افلاطون
- PlatoData
- پست ها
- بالقوه
- قدرت
- در حال حاضر
- امتیازات
- در حال پردازش
- محافظت از
- حفاظت
- با توجه
- منتشر شد
- اعتماد
- تکیه
- بقایای
- گزارش
- گزارش
- پژوهشگر
- قابل احترام
- دویدن
- در حال اجرا
- سیاحت اکتشافی در افریقا
- سعید
- همان
- سناریو
- دوم
- تیم امنیت لاتاری
- به روز رسانی امنیتی
- ارشد
- باید
- نشان می دهد
- مشابه
- So
- تا حالا
- نرم افزار
- ایالات
- سیستم های
- گرفتن
- هدف قرار
- اهداف
- فن آوری
- شرکت های فن آوری
- فنی
- پیشرفته
- که
- La
- شان
- آنجا.
- اینها
- آنها
- شخص ثالث
- این
- این هفته
- در این سال
- تهدید
- بازیگران تهدید
- تهدید
- زمان
- به
- بالا
- دو
- در نهایت
- زیر
- پرده برداری کرد
- بروزرسانی
- به روز رسانی
- اصرار
- کاربران
- معمول
- فروشندگان
- نسخه
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- بود
- we
- وب
- وب کیت
- چهار شنبه
- هفته
- بود
- که
- با
- مهاجرت کاری
- نگرانی
- نگران کننده است
- نوشتن
- سال
- هنوز
- زفیرنت