این نقص امنیتی امکان اجرای کد را در طیف وسیعی از دستگاهها فراهم میکند و سومین آسیبپذیری بزرگی است که امسال توسط اپل اصلاح شده است.
اپل یک نقص امنیتی جدی را در WebKit اصلاح کرده است که بر iOS، iPadOS و macOS تأثیر میگذارد که امکان اجرای کد دلخواه را در طیف وسیعی از دستگاههای اپل فراهم میکند، با شواهدی که نشان میدهد این مشکل به طور فعال مورد سوء استفاده قرار گرفته است.
کارشناسان به همه کاربران اپل توصیه کرده اند که آیفون و آیپد خود را به آخرین نسخه (15.3.1) به روز کنند تا از حملات احتمالی ناشی از دسترسی به محتوای وب ساخته شده به طور مخرب جلوگیری کنند.
| ظرفیت باتری آیفون ایکس | شارژر ایفون ایکس | اداپتور ایفون ایکس | کابل شارژ آیفون ایکس |
این نقص روی آیفونهای قدیمیتر از iPhone 6s، همه مدلهای iPad Pro ، iPad Air 2 و جدیدتر، iPad نسل 5 به بعد، iPad Mini نسل 4 به بعد، و iPod Touch نسل هفتم تأثیر میگذارد.
همین مشکل WebKit همچنین Safari را تحت تأثیر قرار می دهد، که باعث شد اپل به روز رسانی های امنیتی را برای مرورگر مبتنی بر Mac خود منتشر کند که در macOS Big Sur و macOS Catalina در دسترس است. مک هایی که آخرین نسخه macOS Monterey را اجرا می کنند، یک پچ برای خود سیستم عامل، نسخه 12.2.1 منتشر شده است.
این آسیبپذیری امنیتی با نام CVE-2022-22620 ردیابی میشود و توسط یک محقق ناشناس به اپل فاش شده است. کسپرسکی در تحلیل خود گفت که به طور معمول، اپل جزئیات بسیار کمی در مورد این آسیب پذیری ارائه کرده است، اما گفته است که این مشکل مربوط به استفاده پس از کلاس رایگان است، به این معنی که مربوط به استفاده نادرست از حافظه پویا در برنامه ها است.
WebKit یک موتور مرورگر است که توسط اپل توسعه یافته و عمدتاً در مرورگر سافاری آن و همچنین بسیاری از برنامه های کاربردی دیگر در سیستم عامل های اپل استفاده می شود. همچنین در لینوکس و همچنین گوگل کروم و موزیلا فایرفاکس برای آیفون وجود دارد.
دارندگان دستگاههای اپل آسیبدیده باید بهروزرسانی نرمافزاری را در منوی تنظیمات دستگاه خود بررسی کنند، مشروط بر اینکه قبلاً اعلان فشاری مبنی بر آماده بودن بهروزرسانی دریافت نکرده باشند.
این وصلهها سومین بهروزرسانی امنیتی مهم اپل در سال جاری را پس از مجموعهای از مشکلات امنیتی ژانویه ، از جمله دو آسیبپذیری روز صفر ، نشان میدهند که آیفونها، آیپدها و مکها را تحت تأثیر قرار میدهند.
| ظرفیت باتری آیفون ۱۳ | شارژر ایفون ۱۳ | اداپتور ایفون ۱۳ | کابل شارژ آیفون ۱۳ |
این آسیبپذیریها شامل مسائل جدی میشد که میتوانست مهاجمان را به اجرای کد دلخواه با امتیازات هسته سوق دهد که برخی از آنها نیز به طور فعال در طبیعت مورد سوء استفاده قرار میگیرند.
در اوایل ژانویه، یک نقص جداگانه در WebKit نیز یافت شد که به وبسایتها اجازه میداد فعالیت مرور کاربر و شناسههای منحصربهفرد را ردیابی کنند. این باگ که در آن زمان به عنوان “نقض حریم خصوصی” توصیف می شد، با توجه به موضع اپل در مورد ردیابی وب، به ویژه برای اپل دردسرساز بود.
این شرکت در سال 2021 یک ویژگی شفافیت ردیابی برنامه ضد ردیابی را منتشر کرد که به کاربران امکان می داد تنظیمات دستگاهی را انتخاب کنند که به برنامه های نصب شده نیاز دارد تا صریحاً توانایی جمع آوری داده ها را از آنها بخواهند که به آنها امکان می دهد کاربران را در سایر برنامه ها و وب سایت ها ردیابی کنند. متا اخیراً گفته است که این ویژگی برای حفظ حریم خصوصی کاربر نهایی، 10 میلیارد دلار هزینه در بر خواهد داشت.
این سال 2021 از نظر امنیت برای اپل دشوار بود. در طول سال گذشته، این شرکت بسیاری از آسیبپذیریهای روز صفر و همچنین سایر نقصهای امنیتی را که بر دستگاههای اکوسیستم خود تأثیر میگذارد، اصلاح کرد. قابل توجه ترین در میان وصله ها، اصلاح اکسپلویت ForcedEntry بود که توسط نرم افزار جاسوسی Pegasus گروه NSO برای دستیابی به جایگاهی در آیفون ها استفاده شد.