Apple تسرع لإصلاح 3

Apple تسرع لإصلاح 3 ثغرات أمنية جديدة.

Apple تسرع لإصلاح 3 ثغرات أمنية جديدة. أصدرت شركة Apple مجموعة أخرى من التحديثات الأمنية لمعالجة ثلاث ثغرات أمنية من نوع “يوم الصفر” يتم استغلالها حاليًا، والتي تؤثر على أنظمة iOS و iPadOS و macOS و watchOS و Safari، ما يرفع إجمالي عدد ثغرات “يوم الصفر” التي تم اكتشافها في برامجها هذا العام إلى 16 ثغرة.

قائمة الثغرات الأمنية هي كما يلي:

  • CVE-2023-41991: مشكلة في التحقق من صحة الشهادة في إطار عمل الأمان، والتي قد تسمح لتطبيق ضار بتجاوز التحقق من صحة التوقيع.
  • CVE-2023-41992: ثغرة أمنية في النواة يمكن أن تسمح للمهاجم المحلي برفع امتيازاته.
  • CVE-2023-41993: ثغرة في WebKit يمكن أن تؤدي إلى تنفيذ تعسفي للرمز عند معالجة محتوى ويب مصمم خصيصًا.

لم تقدم Apple تفاصيل إضافية باستثناء اعتراف بأن “المشكلة ربما تم استغلالها بنشاط ضد إصدارات iOS قبل iOS 16.7.”

التحديثات متاحة للأجهزة وأنظمة التشغيل التالية:

  • iOS 16.7 and iPadOS 16.7: ايفون 8 والإصدارات الأحدث، و iPad Pro (جميع الموديلات)، و iPad Air الجيل الثالث والإصدارات الأحدث، و iPad الجيل الخامس والإصدارات الأحدث، و iPad mini الجيل الخامس والإصدارات الأحدث.
  • iOS 17.0.1 and iPadOS 17.0.1– : ايفون XS والإصدارات الأحدث، و iPad Pro 12.9 بوصة الجيل الثاني والإصدارات الأحدث، و iPad Pro 10.5 بوصة، و iPad Pro 11 بوصة الجيل الأول والإصدارات الأحدث، و iPad Air الجيل الثالث والإصدارات الأحدث، و iPad الجيل السادس والإصدارات الأحدث، و iPad mini الجيل الخامس والإصدارات الأحدث.
  • macOS Monterey 12.7 و macOS Ventura 13.6
  • watchOS 9.6.3 و watchOS 10.0.1 : ابل واتش سيريس4 والإصدارات الأحدث.
  • Safari 16.6.1: ماك اوه اس Big Sur و macOS Monterey.

يعود الفضل في اكتشاف والإبلاغ عن الثغرات إلى Bill Marczak من Citizen Lab في Munk School بجامعة تورنتو و Maddie Stone من Threat Analysis Group (TAG) في Google، مما يشير إلى أنه ربما تم استخدامها كجزء من برامج تجسس عالية الاستهداف تستهدف أعضاء المجتمع المدني الذين يواجهون مخاطر إلكترونية متزايدة.

كما. يأتي الكشف بعد أسبوعين من قيام Apple بحل ثغرتي “يوم الصفر” المستغلتين حاليًا (CVE-2023-41061 و CVE-2023-41064) والتي تم ربطها كجزء من سلسلة استغلال iMessage خالية من النقرات تسمى BLASTPASS لنشر برامج تجسس تجارية تُعرف باسم Pegasus.

تبع ذلك كل من Google و Mozilla في إصدار إصلاحات لاحتواء ثغرة أمنية (CVE-2023-4863) يمكن أن تؤدي إلى تنفيذ تعسفي للرمز عند معالجة صورة مصممة خصيصًا.

بينما. هناك أدلة تشير إلى أن كل من CVE-2023-41064. وهي ثغرة تجاوز المخزن المؤقت في إطار عمل تحليل صورة Image I/O الخاص بشركة Apple. و CVE-2023-4863. وهي تجاوز مخزن مؤقت في مكتبة صور WebP (libwebp). قد يشير إلى نفس الثغرة. وفقًا لمؤسس Isosceles والباحث السابق في Google Project Zero Ben Hawkes.

في النهاية كشفت Rezilion. في تحليل نشر يوم الخميس. أن مكتبة libwebp تستخدم في العديد من أنظمة التشغيل وحزم البرامج وتطبيقات Linux وصور الحاويات. بينما يسلط الضوء على أن نطاق الثغرة أوسع بكثير مما كان يعتقد في البداية.

Apple تسرع لإصلاح 3 ثغرات أمنية جديدة. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة