در 11 دسامبر، اپل وصله‌هایی را برای ده‌ها آسیب‌پذیری منتشر کرد که بر آیفون‌ها، مک‌ها، تلویزیون‌های اپل، اپل واچ‌ها و مرورگر سافاری تأثیر می‌گذارد.

لیست طولانی شامل 39 آسیب پذیری است که برای macOS Sonoma نسخه 14.2 رفع شده است.

از جمله آنها می توان به CVE-2023-42914 اشاره کرد، یک مشکل هسته با پتانسیل این که به برنامه ها اجازه می دهد از جعبه شنی خود خارج شوند. CVE-2023-42894، یک مشکل AppleEvents که دری را برای برنامه‌ها برای دسترسی بدون مجوز به مخاطبین کاربر باز می‌کند. و دو CVE مخصوص Safari Webkit - یک باگ اجرای کد دلخواه، CVE-2023-42890. و یک اشکال انکار سرویس، CVE-2023-42883.

به‌روزرسانی‌های روز دوشنبه همچنین شامل دوجین اصلاحات جدید در iOS و iPadOS 17.2 بود که هشت مورد از آنها به طور مساوی برای نسخه 16.7.3 اعمال می‌شود.

آنها شامل CVE-2023-42922 هستند که ممکن است به برنامه‌ها اجازه داده باشد اطلاعات مکان حساس را از طریق FindMy بخوانند. CVE-2023-42923، امکان دسترسی بدون احراز هویت به برگه های مرور خصوصی را فراهم می کند. و CVE-2023-42897 که توسط دانشجویی در دانشگاه تگزاس کشف شد، که در آن یک مهاجم با دسترسی فیزیکی به یک دستگاه ممکن است بتواند از Siri برای به دست آوردن اطلاعات حساس کاربر استفاده کند.

CVE های قابل توجه در اپل واچ، بلوتوث

دو آسیب‌پذیری Webkit که قبلاً در آیفون‌ها، آی‌پدها و مک‌بوک‌ها اصلاح شده بودند، از 11 دسامبر برای اپل واچ‌ها نیز اصلاح شده‌اند. CVE-2023-42916، امتیاز CVSS "متوسط" 6.5 را به خود اختصاص داد و CVE-2023-42917 - 8.8 "بالا" - مایک والترز، رئیس و یکی از بنیانگذاران Action1 توضیح می دهد: "هر دو به مهاجمان اجازه می دهند از طریق خواندن های خارج از محدوده به اطلاعات حساس دسترسی داشته باشند و اجرای کد از راه دور (RCE) را از طریق تخریب حافظه از طریق صفحات وب مخرب اجرا کنند.

اپل اشاره کرد که گزارش شده است که این آسیب پذیری ها در نسخه های iOS قبل از 16.7.1 مورد سوء استفاده قرار گرفته اند. والترز درباره تحلیلگر Google TAG مسئول کشف آنها می گوید: «با توجه به کار قبلی محقق، این نشان می دهد که آنها با نرم افزارهای جاسوسی یا APT مرتبط هستند. با این حال، طبق معمول، فروشنده این اطلاعات را فاش نمی کند."

یکی دیگر از موارد خطی که اخیراً سرفصل خبرها شده است، CVE-2023-45866 است، یک آسیب‌پذیری دور زدن احراز هویت که بر macOS و iOS و همچنین لینوکس و اندروید تأثیر می‌گذارد.

اولین بار در اوایل آگوست به فروشندگان گزارش شد و از هفته گذشته عمومی شد، این CVE تنها زمانی روی دستگاه های اپل تأثیر می گذارد که بلوتوث روشن باشد و آنها با صفحه کلید جادویی جفت شوند. با این حال، در چنین مواردی، یک مهاجم بر روی یک کامپیوتر لینوکس با آداپتور بلوتوث استاندارد می‌تواند به جای هرگونه مانع احراز هویت، هر اقدامی را که قربانی می‌تواند انجام دهد، بر روی دستگاه مورد نظر ضربه‌های کلیدی تزریق کند.

RedHat به CVE-2023-45866 یک امتیاز CVSS 7.1 اختصاص داد، آن را به عنوان شدت "بالا" تعیین می کند.

در یک GitHub ReadMEمحقق مسئول این کشف ابراز تاسف کرد مشکلات امنیتی مداوم بر دستگاه های بلوتوث تأثیر می گذارد. او نوشت: "من واقعاً مطمئن نیستم که در این مرحله چه نوع صفحه کلید بی سیمی را توصیه کنم." "اگر در حال خواندن این مطلب هستید و یک صفحه کلید بی سیم امن می سازید، لطفاً یکی را برای من بفرستید تا بتوانم آن را برای شما هک کنم."

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/endpoint-security/dozens-bugs-patched-apple-tv-watch-mac-iphone