در 11 دسامبر، اپل وصلههایی را برای دهها آسیبپذیری منتشر کرد که بر آیفونها، مکها، تلویزیونهای اپل، اپل واچها و مرورگر سافاری تأثیر میگذارد.
لیست طولانی شامل 39 آسیب پذیری است که برای macOS Sonoma نسخه 14.2 رفع شده است.
از جمله آنها می توان به CVE-2023-42914 اشاره کرد، یک مشکل هسته با پتانسیل این که به برنامه ها اجازه می دهد از جعبه شنی خود خارج شوند. CVE-2023-42894، یک مشکل AppleEvents که دری را برای برنامهها برای دسترسی بدون مجوز به مخاطبین کاربر باز میکند. و دو CVE مخصوص Safari Webkit - یک باگ اجرای کد دلخواه، CVE-2023-42890. و یک اشکال انکار سرویس، CVE-2023-42883.
بهروزرسانیهای روز دوشنبه همچنین شامل دوجین اصلاحات جدید در iOS و iPadOS 17.2 بود که هشت مورد از آنها به طور مساوی برای نسخه 16.7.3 اعمال میشود.
آنها شامل CVE-2023-42922 هستند که ممکن است به برنامهها اجازه داده باشد اطلاعات مکان حساس را از طریق FindMy بخوانند. CVE-2023-42923، امکان دسترسی بدون احراز هویت به برگه های مرور خصوصی را فراهم می کند. و CVE-2023-42897 که توسط دانشجویی در دانشگاه تگزاس کشف شد، که در آن یک مهاجم با دسترسی فیزیکی به یک دستگاه ممکن است بتواند از Siri برای به دست آوردن اطلاعات حساس کاربر استفاده کند.
CVE های قابل توجه در اپل واچ، بلوتوث
دو آسیبپذیری Webkit که قبلاً در آیفونها، آیپدها و مکبوکها اصلاح شده بودند، از 11 دسامبر برای اپل واچها نیز اصلاح شدهاند. CVE-2023-42916، امتیاز CVSS "متوسط" 6.5 را به خود اختصاص داد و CVE-2023-42917 - 8.8 "بالا" - مایک والترز، رئیس و یکی از بنیانگذاران Action1 توضیح می دهد: "هر دو به مهاجمان اجازه می دهند از طریق خواندن های خارج از محدوده به اطلاعات حساس دسترسی داشته باشند و اجرای کد از راه دور (RCE) را از طریق تخریب حافظه از طریق صفحات وب مخرب اجرا کنند.
اپل اشاره کرد که گزارش شده است که این آسیب پذیری ها در نسخه های iOS قبل از 16.7.1 مورد سوء استفاده قرار گرفته اند. والترز درباره تحلیلگر Google TAG مسئول کشف آنها می گوید: «با توجه به کار قبلی محقق، این نشان می دهد که آنها با نرم افزارهای جاسوسی یا APT مرتبط هستند. با این حال، طبق معمول، فروشنده این اطلاعات را فاش نمی کند."
یکی دیگر از موارد خطی که اخیراً سرفصل خبرها شده است، CVE-2023-45866 است، یک آسیبپذیری دور زدن احراز هویت که بر macOS و iOS و همچنین لینوکس و اندروید تأثیر میگذارد.
اولین بار در اوایل آگوست به فروشندگان گزارش شد و از هفته گذشته عمومی شد، این CVE تنها زمانی روی دستگاه های اپل تأثیر می گذارد که بلوتوث روشن باشد و آنها با صفحه کلید جادویی جفت شوند. با این حال، در چنین مواردی، یک مهاجم بر روی یک کامپیوتر لینوکس با آداپتور بلوتوث استاندارد میتواند به جای هرگونه مانع احراز هویت، هر اقدامی را که قربانی میتواند انجام دهد، بر روی دستگاه مورد نظر ضربههای کلیدی تزریق کند.
RedHat به CVE-2023-45866 یک امتیاز CVSS 7.1 اختصاص داد، آن را به عنوان شدت "بالا" تعیین می کند.
در یک GitHub ReadMEمحقق مسئول این کشف ابراز تاسف کرد مشکلات امنیتی مداوم بر دستگاه های بلوتوث تأثیر می گذارد. او نوشت: "من واقعاً مطمئن نیستم که در این مرحله چه نوع صفحه کلید بی سیمی را توصیه کنم." "اگر در حال خواندن این مطلب هستید و یک صفحه کلید بی سیم امن می سازید، لطفاً یکی را برای من بفرستید تا بتوانم آن را برای شما هک کنم."
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/endpoint-security/dozens-bugs-patched-apple-tv-watch-mac-iphone