برنامج التجسس Pegasus

تسارع شركة Apple إلى تصحيح عيوب Zero-Day المستغلة في برنامج التجسس Pegasus على أجهزة iPhone

تسارع شركة Apple إلى تصحيح عيوب Zero-Day المستغلة في برنامج التجسس Pegasus على أجهزة iPhone. أصدرت شركة آبل يوم الخميس تحديثات أمنية طارئة لأنظمة iOS و iPadOS و macOS و watchOS لمعالجة ثغرتين في يوم الصفر تم استغلالهما في البرية لتسليم برنامج التجسس بيغاسوس التابع لمجموعة NSO.

تم وصف هذه الثغرات على النحو التالي:

  • CVE-2023-41061 – مشكلة في التحقق في Wallet يمكن أن تؤدي إلى تنفيذ تعليمات برمجية عشوائية عند التعامل مع مرفق تم إنشاؤه بشكل ضار.
  • CVE-2023-41064 – مشكلة في تجاوز المخزن المؤقت في مكون Image I/O يمكن أن تؤدي إلى تنفيذ تعليمات برمجية عشوائية عند معالجة صورة تم إنشاؤها بشكل ضار.

تم العثور على CVE-2023-41064 من قبل مختبر Citizen Lab في مدرسة Munk التابعة لجامعة تورنتو. بينما تم اكتشاف CVE-2023-41061 داخليًا بواسطة Apple. بمساعدة من Citizen Lab.

تتوفر التحديثات للأجهزة وأنظمة التشغيل التالية:

  • iOS 16.6.1 و iPadOS 16.6.1 – iPhone 8 وأحدث ، iPad Pro (جميع الطرازات) ، iPad Air الجيل الثالث فصاعدًا ، iPad الجيل الخامس فصاعدًا ، و iPad mini الجيل الخامس فصاعدًا
  • macOS Ventura 13.5.2 – أجهزة macOS التي تعمل بنظام macOS Ventura
  • watchOS 9.6.2 – Apple Watch Series 4 وأحدث

في تنبيه منفصل. كشف Citizen Lab أن الثغرتين تم تسخيرهما كجزء من سلسلة استغلال iMessage بدون نقرة zero-click تسمى BLASTPASS لنشر Pegasus على أجهزة iPhone الم patched بالكامل التي تعمل بنظام iOS 16.6.

“كانت سلسلة الاستغلال قادرة على اختراق أجهزة iPhone التي تعمل بأحدث إصدار من iOS (16.6) دون أي تفاعل من الضحية”. قال المختبر متعدد التخصصات. “تضمن الاستغلال مرفقات PassKit تحتوي على صور ضارة تم إرسالها من حساب iMessage المهاجم إلى الضحية.”

تم حجب تفاصيل فنية إضافية عن أوجه القصور في ضوء الاستغلال النشط. ومع ذلك. يُقال أن الاستغلال يتجاوز إطار عمل BlastDoor sandbox الذي أنشأته Apple لتخفيف هجمات zero-click.

“يُظهر هذا الاكتشاف الأخير مرة أخرى أن المجتمع المدني يستهدف باستغلالات متقدمة للغاية وبرامج تجسس مرتزقة”. قال Citizen Lab. مضيفًا أن المشكلات تم العثور عليها الأسبوع الماضي عند فحص جهاز شخص غير معروف يعمل في منظمة مجتمع مدني مقرها واشنطن العاصمة مع مكاتب دولية.

كما. قامت شركة كوبرتينو حتى الآن بإصلاح ما مجموعه 13 خطأً في يوم الصفر في ソフトウェア الخاص بها منذ بداية العام. تأتي التحديثات الأخيرة بعد أكثر من شهر من قيام الشركة بإصلاح أخطاء kernel التي تم استغلالها بنشاط (CVE-2023-38606).

الحكومة الصينية فرضت حظر prohibit

تأتي أخبار الثغرات في يوم الصفر في الوقت الذي يُعتقد فيه أن الحكومة الصينية قد أمرت بفرض حظر ي prohibit المسؤولين الحكوميين المركزيين والدوليين من استخدام أجهزة iPhone وأجهزة أخرى تحمل علامة تجارية أجنبية للعمل في محاولة للحد من الاعتماد على التكنولوجيا الخارجية وسط تصاعد حرب تجارية بين الصين والولايات المتحدة.

“السبب الحقيقي [للحظر] هو: الأمن السيبراني (مفاجأة مفاجأة)” . بينما قال زك أفراهام. الباحث الأمني ​​ومؤسس Zimperium. من ناحية أخرى في منشور على X (المعروف سابقًا باسم Twitter). “تتمتع أجهزة iPhone بimage كونها الهاتف الأكثر أمانًا … ولكن في الواقع. لا تتمتع أجهزة iPhone بأي أمان على الإطلاق ضد التجسس البسيط.”

في النهاية “لا تصدقني؟ ما عليك سوى إلقاء نظرة على عدد 0-clicks التي كانت لدى شركات تجارية مثل NSO على مر السنين لفهم أنه لا يوجد شيء تقريبًا يمكن للفرد أو المنظمة أو الحكومة فعله لحماية نفسها من التجسس السيبراني عبر أجهزة iPhone.””

تسارع شركة Apple إلى تصحيح عيوب Zero-Day المستغلة في برنامج التجسس Pegasus على أجهزة iPhone. تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.