صدور هشدار بهرهبرداری فعال از آسیبپذیری بحرانی در iOS، iPadOS و macOS
اخبار داغ فناوری اطلاعات و امنیت شبکه
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) روز چهارشنبه بر اساس شواهدی مبنی بر بهرهبرداری فعال، یک نقص با شدت بحرانی را که بر iOS، iPadOS، macOS، tvOS و watchOS تاثیر میگذارد، به فهرست آسیبپذیریهای شناسایی شده (KEV) اضافه کرد.
این آسیبپذیری که با عنوان CVE-2022-48618 ردیابی میشود (امتیاز CVSS: 7.8)، مربوط به یک اشکال در کامپوننت کرنل است.
اپل در توصیهای گفت: "یک مهاجم با قابلیت خواندن و نوشتن دلخواه ممکن است بتواند تایید اعتبارنامه پوینتر را دور بزند و ممکن است از این آسیبپذیری در نسخههای 15.7.1 و قبلتر، مورد سواستفاده قرار گیرد".
اپل گفت که این مشکل با بررسیهای بهبود یافته برطرف شده است. در حال حاضر مشخص نیست که این آسیبپذیری چگونه در حملات دنیای واقعی مورد استفاده قرارگرفته است.
نکته جالب این است که اگرچه تنها یک سال بعد در 9 ژانویه 2024 این آسیبپذیریها بهصورت عمومی فاش شد، پچهای مربوط به این نقص در ۱۳ دسامبر ۲۰۲۲ با انتشار iOS 16.2، iPadOS 16.2، macOS Ventura 13.1، tvOS 16.2 و watchOS 9.2 منتشر شد.
لازم به ذکر است که اپل نقص مشابهی را در کرنل (CVE-2022-32844، امتیاز CVSS: 6.3) در iOS 15.6 و iPadOS 15.6 که در 20 جولای 2022 عرضه شد، برطرف نمود.
این شرکت در آن زمان گفت: "یک برنامه با قابلیت خواندن و نوشتن کرنل دلخواه ممکن است بتواند تایید اعتبار پوینتر را دور بزند. این مسئله منطقی با بهبود وضعیت مدیریت، حل شد".
با توجه به بهرهبرداری فعال از CVE-2022-48618، CISA توصیه میشود که کاربران، هر چه سریعتر، اصلاحات ارائهشده را اعمال کنند.
این توسعه همچنین در حالی انجام میشود که اپل پچهایی را برای یک نقص امنیتی فعال در موتور مرورگر WebKit (CVE-2024-23222، امتیاز CVSS: 8.8) گسترش داد که شامل هدست Apple Vision Pro خود نیز شود. این اصلاح در visionOS 1.0.2 موجود است.
برچسب ها: CVE-2024-23222, CVE-2022-32844, CVE-2022-48618, tvOS, iPadOS, کرنل, Cyber Warfare, kernel, پچ, macOS, watchOS, iOS, Patch, cybersecurity, Apple, اپل, آسیبپذیری, Vulnerability, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news