اپل، نوزدهم نوامبر ۲۰۲۴، به روزرسانیهای امنیتی را برای رفع دو آسیب پذیری روز صفر که در حمله به سیستمهای مک مبتنی بر اینتل مورد سوء استفاده قرار گرفتهاند، منتشر کرد. دو آسیب پذیری CVE-2024-44308 و CVE-2024-44309 به ترتیب در کامپوننتهای Sequoia JavaScriptCore و WebKit سیستم عامل macOS یافت شدند.
هر دو کامپوننت مربوط به موتورهای وب macOS هستند که امکان اجرای مرورگر سافاری و محتوای وب را فراهم میآورند.
آسیب پذیری CVE-2024-44308 به مهاجمان اجازه میدهد تا از طریق محتوای مخرب وب ساخته شده به اجرای کد از راه دور دست یابند. آسیب پذیری CVE-2024-44309 نیز امکان حملات اسکریپت بین سایتی (XSS) را فراهم میآورد.
اپل این آسیب پذیریها را در macOS Sequoia 15.1.1 را پچ کرده است. این آسیب پذیریها در کامپوننتهای مشابه سایر سیستم عاملهای اپل نیز وجود دارند از این رو در نسخههای iOS 17.7.2 و iPadOS 17.7.2، iOS 18.1.1 و iPadOS 18.1.1، visionOS 2.1.1، macOS Sequoia 15.1.1 و Safari 18.1.1 پچ شدند.
هنوز مشخص نیست که چه کسی پشت حمله به کاربران مک قرار دارد و یا چه تعداد از کاربران مک مورد هدف قرار گرفتهاند. این آسیب پذیریها توسط محققان امنیتی گروه تحلیل تهدید گوگل گزارش شده است.
به گفته کارشناسان، هکر با فریب دادن دستگاههای آسیب پذیر اپل برای پردازش محتوای وب ساخته شده مخرب، مانند یک وب سایت یا ایمیل، میتواند از این باگها سوءاستفاده کند تا به اجرای کد دلخواه دست یابد و بدافزار مورد نظر خود را در دستگاه قربانی نصب کند.
اپل تاکنون با احتساب این دو آسیب پذیری، شش نقص روز صفر را در سال 2024 برطرف کرده است. این تعداد بسیار کمتر از سال ۲۰۲۳ میباشد (در سال ۲۰۲۳، تعداد ۲۰ آسیب پذیری روز صفر پچ شدند!).
