آسیب‌پذیری روز صفر جدید در Apple

Apple وصله های امنیتی اضطراری برای مقابله با 3 آسیب پذیری روز صفر جدید در iOS، macOS، tvOS، watchOS، iPadOS و مرورگر وب Safari 16.5 منتشرکرد. 
سه آسیب پذیری امنیتی دراپل CVE-2023-32409 ، CVE-2023-28204 و CVE-2023-32373 می باشند. آسیب پذیری CVE-2023-32409، یک آسیب پذیری WebKit است که می تواند توسط مهاجم برای خارج شدن از جعبه ایمنی محتوای وب بهره برداری شود که با محدودیت های بهبودیافته مورد بررسی قرار گرفت. آسیب پذیری CVE-2023-28204، یک آسیب پذیری خواندن خارج از محدوده در WebKit است که می تواند برای افشای اطلاعات حساس هنگام پردازش محتوای وب بهره برداری شود که با اعتبارسنجی ورودی مورد بررسی قرار گرفت. آسیب پذیری CVE-2023-32373، بخش ناشناخته ای از WebKit را تحت تاثیر قرار می دهد. دستکاری با یک ورودی ناشناخته، به استفاده از این آسیب پذیری رایگان منجر می شود. ارجاع به حافظه پس از آزاد شدن می تواند باعث از کار افتادن برنامه، استفاده از مقادیر غیرمنتظره یا اجرای کد شود و محرمانگی، یکپارچگی و دسترس پذیری را تحت تاثیر قرار دهد. برای اجرای این آسیب پذیری، قربانی باید نوعی تعامل با کاربر داشته باشد. آسیب پذیری می تواند به اجرای کد مخرب در هنگام بررسی محتوای وب منجر شود که با بهبود مدیریت حافظه برطرف شد. جزئیات مربوط به حملاتی که در آن، آخرین روزهای صفر WebKit مورد سوءاستفاده قرار می گیرند فاش نشده است، زیرا اپل نسبت به اشتراک گذاری جزئیات حملات سخت گیر است.
این آسیب پذیری ها در همه مدل های iPhone 6s،iPhone 7،iPhone SE ، iPad Air2، iPad Mini، iPod Touch، iPhone 8، iPad Pro، iPad Air 3rd، iPad 5th، iPad mini 5th، macOS Big Sur، Apple Watch series4، Apple TV 4K، Apple TV HD تاثیرگذار بوده اند.

به کاربران توصیه می شود که macOS را به نسخه 13.4، 12.6 یا 11.7 و  iOS/iPad OS را به نسخه 16.5 یا 15.7.6 و مرورگر Safari را به نسخه 16.5 و tvOS را به نسخه 16.5 و watchOS را به نسخه 9.5 ارتقا دهند.
همچنین به کاربران توصیه می¬شود که در صورت وجود، از مسیر Setting -> General-> SoftWare Updates->Enable Automatic Updates به روزرسانی خودکار را فعال نمایند.

منابع خبر