اپل، یازدهم دسامبر ۲۰۲۳، وصلههای امنیتی برای اصلاح آسیب پذیریهای موجود در iOS، iPadOS، macOS، tvOS، watchOS و مرورگر وب سافاری منتشر کرد. دوازده مورد از آسیبپذیریها متعلق به iOS و iPadOS میباشند که شامل AVEVideoEncoder، ExtensionKit، Find My، ImageIO، Kernel، WebKit و مرورگر خصوصی سافاری میشوند. macOS Sonoma 14.2 نیز به نوبه خود، ۳۹ نقص را برطرف کرده است و بر روی شش باگ کتابخانه ncurses تأثیر میگذارد. این به روزرسانی اپل برای اصلاح نقصهای بحرانی بسیار حائز اهمیت است.
اپل در میان بهروزرسانیها، وصله امنیتی برای دو نقص روز صفر در آیفونهای قدیمیتر و برخی از مدلهای Apple Watch و Apple TV منتشر کرده است. اپل از گزارشی آگاه است مبنی بر اینکه این باگها ممکن است علیه نسخههای پیش از iOS 16.7.1 مورد سوء استفاده قرار گرفته باشند. این دو آسیبپذیری که اکنون با شناسههای CVE-2023-42916 و CVE-2023-42917 دنبال میشوند، در موتور مرورگر WebKit که توسط اپل توسعه یافته و توسط مرورگر وب سافاری این شرکت در سراسر پلتفرمهای آن (مانند macOS، iOS، iPadOS) استفاده میشوند، کشف شدهاند.
این آسیب پذیری ها میتوانند امکان دسترسی به داده های حساس از طریق اجرای کد دلخواه[1] با استفاده از صفحات وب مخرب برای سوء استفاده از باگ های خارج از محدوده[2] و خرابی حافظه[3] در دستگاه های وصله نشده برای مهاجمان را فراهم آورند.
اپل در این دوره به روزسانی، آسیب پذیری های روز صفر را در iOS 16.7.3، iPadOS 16.7.3، tvOS 17.2 و watchOS 10.2 با اعتبار سنجی ورودی بهبودیافته[4] و قفل کردن یا locking مورد بررسی قرار داده است.
این باگها اکنون در دستگاههای زیر نیز اصلاح شدهاند:
- آیفون ۸ و بالاتر، آیپد پرو (همه مدل ها)، آیپد ایر نسل ۳ به بعد، آیپد نسل ۵ و بالاتر، و آیپد مینی نسل پنجم به بعد
- Apple TV HD و Apple TV 4K (همه مدل ها)
- اپل واچ سری ۴ و بالاتر
اپل هنوز جزئیاتی را در خصوص سوء استفاده از آسیبپذیریها منتشر نکرده است. CISA همچنین چهارم دسامبر ۲۰۲۳ به آژانسهای شعبه اجرایی غیرنظامی فدرال ([5]FCEB) دستور داد تا بر اساس شواهدی مبنی بر اکسپلویت فعال، دستگاههای خود را در برابر این دو آسیبپذیری امنیتی اصلاح کنند. اپل از ابتدای سال تا کنون، ۲۰ آسیبپذیری روز صفر را که مورد سوء استفاده قرار گرفتهاند، اصلاح کرده است:
- دو آسیب پذیری روز صفر (CVE-2023-42916 و CVE-2023-42917) در نوامبر
- دو آسیب پذیری روز صفر (CVE-2023-42824 و CVE-2023-5217) در ماه اکتبر
- پنج آسیب پذیری روز صفر (CVE-2023-41061، CVE-2023-41064، CVE-2023-41991، CVE-2023-41992 و CVE-2023-41993) در سپتامبر
- دو آسیب پذیری روز صفر (CVE-2023-37450 و CVE-2023-38606) در ژوئیه
- سه آسیب پذیری روز صفر (CVE-2023-32434، CVE-2023-32435 و CVE-2023-32439) در ژوئن
- سه آسیب پذیری روز صفر دیگر (CVE-2023-32409، CVE-2023-28204 و CVE-2023-32373) در ماه می
- دو آسیب پذیری روز صفر (CVE-2023-28206 و CVE-2023-28205) در آوریل
- و یکی آسیب پذیری روز صفر دیگر مربوط به WebKit (CVE-2023-23529) در ماه فوریه
برای مشاهده لیست کامل به روزرسانی های امنیتی اپل به این لینک مراجعه کنید.
[1] execute arbitrary code
[2] out-of-bounds bug
[3] memory corruption
[4] improved input validation
[5] Federal Civilian Executive Branch
