آسیب پذیری های روز صفر بحرانی اپل و انتشار به روزرسانی‌‌های امنیتی این شرکت

اپل، پنجم مارس ۲۰۲۴ به ‌روزرسانی‌های امنیتی برای رفع چندین نقص روز صفر (Zero-Day) منتشر کرد، از جمله دو آسیب ‌پذیری که به گفته او به طور فعال مورد سوء استفاده قرار گرفته‌اند. این آسیب پذیری ها به شرح زیر می‌باشند:

• CVE-2024-23225 – یک باگ خرابی حافظه در کرنل که یک مهاجم با قابلیت خواندن و نوشتن کرنل دلخواه می‌تواند برای دور زدن حفاظت های حافظه کرنل از آن سوء استفاده کند.
• CVE-2024-23296 – یک باگ خرابی حافظه در سیستم عامل بلادرنگ RTKit (RTOS) که یک مهاجم با قابلیت خواندن و نوشتن کرنل دلخواه می‌تواند از آن برای دور زدن حفاظت‌های حافظه کرنل سوء استفاده کند.

در حال حاضر مشخص نیست که این نقص‌ها دقیقا چگونه مورد سوء استفاده قرار گرفته‌اند. اپل اذعان داشت که هر دو آسیب‌ پذیری با اعتبار سنجی بهبود یافته در iOS 17.4، iPadOS 17.4، iOS 16.7.6 و iPadOS 16.7.6 برطرف شده‌اند و به روز رسانی ها برای دستگاه‌های زیر در دسترس می‌باشند:

• iOS 16.7.6 وiPadOS 16.7.6 – آیفون 8، آیفون 8 پلاس، آیفون X، آیپد نسل 5، آیپد پرو ۹.۷ اینچی و آیپد پرو ۱۲.۹ اینچی نسل اول.
• iOS 17.4 و iPadOS 17.4 – آیفون XS به بعد، آیپد پرو ۱۲.۹ اینچی نسل 2 به بعد، آیپد پرو ۱۰.۵ اینچی، آیپد پرو 11 اینچی نسل 1 به بعد، آیپد ایر نسل 3 به بعد، آیپد نسل 6 به بعد، و آیپد مینی نسل پنجم و جدیدتر.

با احتساب آسیب پذیری های اخیر، اپل از ابتدای سال تاکنون در مجموع به سه آسیب پذیری روز صفر در نرم افزار خود پرداخته است. این شرکت در اواخر ژانویه 2024، یک نقص type confusion (سردرگمی نوع) را با شناسه CVE-2024-23222 در WebKit  مرتفع ساخت که بر iOS، iPadOS، macOS، tvOS و مرورگر وب سافاری تأثیر می‌گذاشت و می‌توانست منجر به اجرای کد دلخواه گردد.

این توسعه زمانی صورت پذیرفت که آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) دو نقص را به فهرست آسیب ‌پذیری‌ های شناخته شده (KEV) افزود و از سازمان‌های فدرال درخواست کرد تا به‌روزرسانی‌های لازم را تا بیست و ششم مارس 2024 اعمال کنند.

این آسیب ‌پذیری ‌ها مربوط به یک نقص افشای اطلاعات است که بر دستگاه‌های Android Pixel (CVE-2023-21237) تاثیر گذاشته و یک نقص تزریق فرمان سیستم‌ عامل در Sunhillo SureLine است که می‌تواند منجر به اجرای کد با سطح دسترسی root (CVE-2021-36380) گردد.

گوگل در توصیه‌ای که در ژوئن 2023 منتشر شد، اعلام کرد که نشانه‌هایی یافته است که ممکن است CVE-2023-21237 تحت بهره‌برداری محدود و هدفمند قرار گرفته باشد. Fortinet در خصوص CVE-2021-36380، اواخر سال گذشته اذعان داشت که یک بات نت Mirai به نام IZ1H9 از این نقص استفاده می‌کند تا دستگاه‌های حساس را به یک بات نت DDoS متصل نماید.

منابع