توییت
اپل روز دوشنبه بهروزرسانیهای امنیتی را برای iOS، iPadOS، macOS و Safari ارائه کرد تا نقص 0day را برطرف کند که گفته بود به طور فعال مورد سوء استفاده قرار گرفته است.
این مشکل که بهعنوان CVE-2023-23529 پیگیری میشود، مربوط به یک اشکال در موتور مرورگر WebKit است که میتواند هنگام پردازش محتوای وب ساختهشده بهطور مخرب فعال شود و منجر به اجرای کد دلخواه شود.
سازنده آیفون گفت که این اشکال با بررسی های بهبود یافته برطرف شده است و افزود که "از گزارشی آگاه است که ممکن است به طور فعال از این مشکل سوء استفاده شده باشد." یک محقق ناشناس مسئول گزارش این نقص اعتبار شده است.
هنوز مشخص نیست که این آسیبپذیری چگونه در حملات دنیای واقعی مورد سوء استفاده قرار میگیرد، اما این دومین نقص اشتباهی است که به طور فعال مورد سوء استفاده قرار میگیرد در WebKit که پس از CVE-2022-42856 در چند ماه، که در دسامبر بسته شد، توسط اپل اصلاح شد. 2022.
نقصهای WebKit همچنین به این دلیل قابلتوجه است که بر روی هر مرورگر وب شخص ثالثی که برای iOS و iPadOS در دسترس است، تأثیر میگذارد، زیرا محدودیتهای اپل وجود دارد که فروشندگان مرورگر را ملزم به استفاده از چارچوب رندر یکسان میکند.
همچنین توسط این شرکت یک مشکل بدون استفاده در هسته (CVE-2023-23514) وجود دارد که می تواند به یک برنامه اجازه دهد تا کد دلخواه را با بالاترین امتیازات اجرا کند.
Xinru Chi از Pangu Lab و Ned Williamson از Google Project Zero مسئول گزارش این مشکل هستند. اپل گفت که این آسیب پذیری را با بهبود مدیریت حافظه برطرف کرده است.
به طور جداگانه، آخرین به روز رسانی macOS همچنین یک نقص حریم خصوصی را در Shortcut ها وصل می کند که یک برنامه دارای بدافزار می تواند از آن برای "مشاهده داده های کاربر محافظت نشده" استفاده کند. اپل خاطرنشان کرد که این مشکل با مدیریت بهتر فایلهای موقت برطرف شد.
به کاربران توصیه می شود برای کاهش خطرات احتمالی، به iOS 16.3.1، iPadOS 16.3.1، macOS Ventura 13.2.1 و Safari 16.3.1 به روز رسانی کنند. به روز رسانی ها برای دستگاه های زیر در دسترس هستند -
آیفون 8 به بعد، آیپد پرو (همه مدل ها)، آیپد ایر نسل 3 به بعد، آیپد نسل 5 به بعد، و آیپد مینی نسل پنجم به بعد
مکهای دارای macOS Ventura، macOS Big Sur و macOS Monterey
اپل در سال 2022 در مجموع 10 روز صفر نرم افزار خود را اصلاح کرد که 9 مورد از آنها به عنوان فعالانه توسط عوامل تهدید مورد سوء استفاده قرار گرفته است. چهار مورد از این نقص ها در WebKit کشف شد.
این مشکل که بهعنوان CVE-2023-23529 پیگیری میشود، مربوط به یک اشکال در موتور مرورگر WebKit است که میتواند هنگام پردازش محتوای وب ساختهشده بهطور مخرب فعال شود و منجر به اجرای کد دلخواه شود.
سازنده آیفون گفت که این اشکال با بررسی های بهبود یافته برطرف شده است و افزود که "از گزارشی آگاه است که ممکن است به طور فعال از این مشکل سوء استفاده شده باشد." یک محقق ناشناس مسئول گزارش این نقص اعتبار شده است.
هنوز مشخص نیست که این آسیبپذیری چگونه در حملات دنیای واقعی مورد سوء استفاده قرار میگیرد، اما این دومین نقص اشتباهی است که به طور فعال مورد سوء استفاده قرار میگیرد در WebKit که پس از CVE-2022-42856 در چند ماه، که در دسامبر بسته شد، توسط اپل اصلاح شد. 2022.
نقصهای WebKit همچنین به این دلیل قابلتوجه است که بر روی هر مرورگر وب شخص ثالثی که برای iOS و iPadOS در دسترس است، تأثیر میگذارد، زیرا محدودیتهای اپل وجود دارد که فروشندگان مرورگر را ملزم به استفاده از چارچوب رندر یکسان میکند.
همچنین توسط این شرکت یک مشکل بدون استفاده در هسته (CVE-2023-23514) وجود دارد که می تواند به یک برنامه اجازه دهد تا کد دلخواه را با بالاترین امتیازات اجرا کند.
Xinru Chi از Pangu Lab و Ned Williamson از Google Project Zero مسئول گزارش این مشکل هستند. اپل گفت که این آسیب پذیری را با بهبود مدیریت حافظه برطرف کرده است.
به طور جداگانه، آخرین به روز رسانی macOS همچنین یک نقص حریم خصوصی را در Shortcut ها وصل می کند که یک برنامه دارای بدافزار می تواند از آن برای "مشاهده داده های کاربر محافظت نشده" استفاده کند. اپل خاطرنشان کرد که این مشکل با مدیریت بهتر فایلهای موقت برطرف شد.
به کاربران توصیه می شود برای کاهش خطرات احتمالی، به iOS 16.3.1، iPadOS 16.3.1، macOS Ventura 13.2.1 و Safari 16.3.1 به روز رسانی کنند. به روز رسانی ها برای دستگاه های زیر در دسترس هستند -
آیفون 8 به بعد، آیپد پرو (همه مدل ها)، آیپد ایر نسل 3 به بعد، آیپد نسل 5 به بعد، و آیپد مینی نسل پنجم به بعد
مکهای دارای macOS Ventura، macOS Big Sur و macOS Monterey
اپل در سال 2022 در مجموع 10 روز صفر نرم افزار خود را اصلاح کرد که 9 مورد از آنها به عنوان فعالانه توسط عوامل تهدید مورد سوء استفاده قرار گرفته است. چهار مورد از این نقص ها در WebKit کشف شد.