اپل روز سهشنبه بروزرسانیهایی را برای iOS ،iPadOS و tvOS با رفع سه آسیبپذیری امنیتی منتشر کرد که به گفته آنها ممکن است به طور فعال مورد سوءاستفاده قرار گرفته باشند.
براساس گزارش یک محقق ناشناس سه نقص CVE-2021-1782 ،CVE-2021-1870 Zero-Dayو CVE-2021-1871 میتوانست به یک مهاجم اجازه دهد امتیازات دسترسی خود را بالا ببرد و به اجرای کد از راه دور دست یابد.
اپل میزان گستردگی حمله و یا هویت مهاجمانی را که از این آسیبپذیریها استفاد میکردهاند فاش نکرد.
نقص افزایش امتیاز در کرنل (CVE-2021-1782) میتواند باعث شود یک برنامه مخرب امتیازات خود را بالاتر ببرد، دو نقص دیگر که “logic issue” نامیده میشوند در موتور مرورگر WebKit کشف شدهاند (CVE-2021-1870 و CVE-2021-1871) و به مهاجم اجازه میدهند تا در داخل Safari به اجرای کد دست یابد.
چنین حملهای شامل تحویل کد مخرب به سادگی و با مراجعه به یک وبسایت در معرض خطر است که پس از آن از آسیبپذیریهای فوقالذکر برای تشدید امتیازات خود و اجرای دستورات دلخواه برای کنترل دستگاه استفاده میکند.
بروزرسانیها اکنون برای:
- آیفون 6s و بالاتر
- iPad Air 2 به بعد
- iPad mini 4 و بالاتر
- iPod touch (نسل هفتم)
- Apple TV 4K و Apple TV HD
در دسترس هستند.
اخبار جدیدترین Zero-Dayها پس از آنکه این شرکت سه آسیبپذیری مورد استفاده در نوامبر ۲۰۲۰ و یک نقص جداگانه 0Day در iOS 13.5.1 را برطرف کرد اعلام شد که در سال گذشته در یک کارزار جاسوسی سایبری با هدف هدف قرار دادن خبرنگاران الجزیره افشا شد.
یک نظر