شرکت Apple بهروزرسانیهای امنیتی اضطراری را برایiOS، iPadOS، macOS و watchOS منتشر کرد تا دو آسیب پذیری روز صفر را که برای ارائه نرمافزار Pegasus گروه NSO اکسپلویت شده اند را برطرف کند.
این دو آسیب پذیری با عنوان CVE-2023-41064 و CVE-2023-41061 ارزیابی شده اند. این اکسپلویت شامل پیوستهای PassKit بود که حاوی تصاویر مخربی بود که از یک حساب کاربری iMessage مهاجم برای قربانی ارسال میشد. زنجیره اکسپلویت قادر بود آیفون هایی را که آخرین نسخه iOS (16.6) را اجرا می کردند، بدون هیچ گونه تعاملی از جانب قربانی به خطر بیندازد. آسیب پذیری با شناسه CVE-2023-41061، یک مشکل اعتبار سنجی در Wallet است که می تواند منجر به اجرای کد، هنگام مدیریت یک پیوست ساخته شده مخرب شود.
آسیب پذیری با شناسه CVE-2023-41064، یک مشکل سرریز بافر در مؤلفه Image I/Oاست که می تواند منجر به اجرای کد، هنگام پردازش یک تصویر ساخته شده به طور مخرب شود.
این آسیب پذیری نسخه iPhone 8 و بعدتر، همه مدل های iPad Pro، iPad Air 3rd و بعدتر، macOS Ventura، Apple Watch Series4 و بعدتر را تحت تاثیر گذاشته است.
از مشتریان اپل خواسته شده است، فوراً دستگاه های خود را به روزرسانی کنند و از افرادی که به دلیل هویت یا حرفه خود در معرض حملات هدفمند قرار دارند، درخواست شده است حالت Lockdown را فعال کنند.
منابع خبر
- 88