شرکت Apple، وصلههایی برای 3 آسیبپذیری بحرانی جدید روز صفر منتشر کرده است که بر iPadOS، iOS، watchOS، macOS و Safari تاثیرگذار است.
جزئیات آسیبپذیری
آسیبپذیری CVE-2023-41991، یک آسیبپذیری اعتبارسنجی در چارچوب امنیتی است که به مهاجم اجازه میدهد، تایید اعتبار امضا را با استفاده از برنامههای مخرب دور بزند یا از طریق صفحات وب که به طور مخرب ساخته شدهاند، کدهای خود را اجرا کند.
CVE-2023-41992، عنوان آسیبپذیری دیگری است که در Kernel Framework کشف شده است که API ها و پشتیبانی از برنامههای افزودنی Kernel و درایورهای دستگاه Kernel را فراهم می¬کند. مهاجمان محلی، با اکسپلویت این آسیبپذیری میتوانند دسترسی خود را افزایش دهند.
آسیبپذیری CVE-2023-41993، یک آسیبپذیری WebKit است که میتواند منجر به اجرای کد، هنگام پردازش محتوای وب ساخته شده شود.
این شرکت، جزئیات بیشتری در مورد آسیب¬پذیری منتشر نکرد و در گزارشی اعلام کرد، این آسیبپذیری ممکن است در نسخههای iOS قبل از iOS 16.7 اکسپلویت شده باشد.
دستگاههای آسیبپذیر شامل iPhone 8 و بعدتر، iPad mini 5th generation و جدیدتر، Macs running macOS Monterey و جدیدتر، Apple Watch Series 4 و بعدتر هستند.
محصولات تحت تأثیر
سه آسیبپذیری روز صفر درmacOS 12.7/13.6 ، iOS 16.7/17.0.1، iPadOS 16.7/17.0.1 و watchOS 9.6.3/10.0.1 با رفع مشکل اعتبار سنجی، برطرف شده است.
منابع خبر:
[1] https://thehackernews.com/2023/09/apple-rushes-to-patch-3-new-zero-day.html
[2] https://www.bleepingcomputer.com/news/apple/apple-emergency-updates-fix-3-new-zero-days-exploited-i…
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-41991
[4] https://vuldb.com/?id.240162
- 51