حث مستخدمي iPhone على التحديث إلى التصحيح 2 Zero-Days

إصلاحات منفصلة لعيوب تصحيح macOS و iOS ذات الصلة في kernel و WebKit والتي يمكن أن تسمح لممثلي التهديد بالسيطرة على الأجهزة وتتعرض للهجوم.

تحث Apple مستخدمي macOS و iPhone و iPad على الفور على تثبيت التحديثات المعنية هذا الأسبوع والتي تتضمن إصلاحات لمدة يومين صفر تحت الهجوم النشط. التصحيحات مخصصة للثغرات الأمنية التي تسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية والاستيلاء على الأجهزة في النهاية.

تتوفر التصحيحات للأجهزة المتأثرة التي تعمل بنظام iOS 15.6.1 و macOS Monterey 12.5.1. تعالج التصحيحات عيبين ، يؤثران بشكل أساسي على أي جهاز Apple يمكنه تشغيل iOS 15 أو إصدار Monterey من نظام تشغيل سطح المكتب ، وفقًا لتحديثات الأمان الصادرة عن Apple يوم الأربعاء.

أحد العيوب هو خطأ kernel (CVE-2022-32894) ، وهو موجود في كل من iOS و macOS. وفقًا لشركة Apple ، فإن هذه “مشكلة كتابة خارج الحدود [التي] تمت معالجتها من خلال فحص الحدود المحسّن.”

تسمح الثغرة الأمنية لأحد التطبيقات بتنفيذ تعليمات برمجية عشوائية بامتيازات kernel ، وفقًا لشركة Apple ، والتي قالت ، بطريقة غامضة عادةً ، إن هناك تقريرًا بأنه “ربما تم استغلاله بشكل نشط”.

تم تحديد الخلل الثاني على أنه خطأ في WebKit (تم تتبعه كـ CVE-2022-32893) ، وهي مشكلة كتابة خارج الحدود عالجتها Apple من خلال فحص الحدود المحسّن. يسمح الخلل بمعالجة محتوى الويب الضار الذي يمكن أن يؤدي إلى تنفيذ التعليمات البرمجية ، كما تم الإبلاغ عن تعرضه للاستغلال النشط ، وفقًا لشركة Apple. WebKit هو محرك المتصفح الذي يعمل على تشغيل Safari وجميع متصفحات الجهات الخارجية الأخرى التي تعمل على iOS.

سيناريو يشبه بيغاسوس
اكتشاف كلا العيبين ، اللذان لا يُعرف عنهما سوى القليل من الإفصاح عن شركة Apple ، يرجع الفضل فيه إلى باحث مجهول.

أعرب أحد الخبراء عن قلقه من أن أحدث عيوب Apple “يمكن أن تمنح المهاجمين حق الوصول الكامل إلى الجهاز بشكل فعال” ، وقد يخلقون سيناريو يشبه Pegasus مشابهًا للسيناريو الذي قامت فيه APTs التابعة للدولة باستهداف أهداف ببرامج التجسس التي صنعتها مجموعة NSO الإسرائيلية من خلال استغلال ضعف iPhone.

قالت راشيل توباك ، المديرة التنفيذية لشركة SocialProof Security ، في تغريدة “بالنسبة لمعظم الناس: تحديث البرنامج بنهاية اليوم” ، فيما يتعلق بأيام الصفر. وحذر توباك من أنه “إذا كان نموذج التهديد مرتفعًا (صحفي ، ناشط ، مستهدف من قبل الدول القومية ، إلخ): قم بالتحديث الآن”.

أيام الصفر تكثر
تم الكشف عن العيوب جنبًا إلى جنب مع أخبار أخرى من Google هذا الأسبوع مفادها أنها كانت تعمل على تصحيح يوم الصفر الخامس حتى الآن هذا العام لمتصفح Chrome ، وهو خطأ في تنفيذ التعليمات البرمجية التعسفي يتعرض لهجوم نشط.

وأشار أندرو والي ، المدير الفني الأول في الشركة ، إلى أن الأخبار عن المزيد من الثغرات الأمنية من كبار بائعي التكنولوجيا الذين تعرضوا للهجوم من قبل الجهات الفاعلة المهددة ، توضح أنه على الرغم من الجهود الجبارة التي تبذلها شركات التكنولوجيا من الدرجة الأولى لمعالجة المشكلات الأمنية الدائمة في برامجها ، فإنها لا تزال معركة شاقة. Promon ، شركة نرويجية لأمن التطبيقات.

وقال إن العيوب في iOS مثيرة للقلق بشكل خاص ، نظرًا لانتشار أجهزة iPhone في كل مكان واعتماد المستخدمين المطلق على الأجهزة المحمولة في حياتهم اليومية. ومع ذلك ، فإن المسؤولية لا تقع على البائعين فقط لحماية هذه الأجهزة ولكن أيضًا على المستخدمين ليكونوا أكثر وعياً بالتهديدات الحالية ، كما لاحظ والي.

قال في رسالة بريد إلكتروني إلى Threatpost: “بينما نعتمد جميعًا على أجهزتنا المحمولة ، فإنها ليست معرضة للخطر ، وكمستخدمين نحتاج إلى الحفاظ على حراستنا تمامًا كما نفعل في أنظمة تشغيل سطح المكتب”.

في الوقت نفسه ، يجب على مطوري تطبيقات iPhone والأجهزة المحمولة الأخرى أيضًا إضافة طبقة إضافية من عناصر التحكم في الأمان في تقنيتهم ​​بحيث يكونون أقل اعتمادًا على أمان نظام التشغيل للحماية ، نظرًا للعيوب التي تظهر بشكل متكرر ، كما لاحظ Whaley.

وقال: “تُظهر تجربتنا أن هذا لا يحدث بشكل كافٍ ، ومن المحتمل أن يترك البنوك والعملاء الآخرين عرضة للخطر”.