اپل بروزرسانیهای فوری امنیتی برای iOS، iPadOS، macOS، visionOS و Safari منتشر کرده است تا دو آسیبپذیری روز صفر که در حال بهرهبرداری فعال در دنیای واقعی هستند را برطرف کند.
آسیبپذیریها به شرح زیر هستند:
- CVE-2024-44308 – یک آسیبپذیری در JavaScriptCore که میتواند منجر به اجرای کد دلخواه هنگام پردازش محتوای وب مخرب شود.
- CVE-2024-44309 – یک آسیبپذیری در مدیریت کوکیها در WebKit که میتواند حملات XSS (Cross-Site Scripting) را هنگام پردازش محتوای وب مخرب امکانپذیر کند.
اپل آسیبپذیری CVE-2024-44308 را با پیادهسازی بررسیهای بیشتر و CVE-2024-44309 را با بهبود مدیریت وضعیت رفع کرده است.
اگرچه جزئیات دقیق در مورد نحوه بهرهبرداری از این آسیبپذیریها محدود است، اپل تأیید کرده است که این دو آسیبپذیری ممکن است به طور فعال در حال بهرهبرداری، به ویژه روی سیستمهای مک مبتنی بر Intel باشند.
این آسیبپذیریها توسط کلمان لسیگن و بنوآ سیونس از گروه تجزیه و تحلیل تهدید گوگل (TAG) کشف و گزارش شدهاند، که نشان میدهد این آسیبپذیریها ممکن است در حملات بسیار هدفمند، احتمالا به عنوان بخشی از حملات بدافزارهای دولتی یا جاسوسیهای مرسوم، مورد استفاده قرار گرفته باشند.
بروزرسانیها برای دستگاهها و پلتفرمهای زیر در دسترس هستند:
- iOS 18.1.1 و iPadOS 18.1.1: آیفون XS و مدلهای جدیدتر، آیپد پرو (تمام مدلها از 13 اینچ نسل 3 به بعد)، آیپد ایر نسل 3 به بعد، آیپد نسل 7 به بعد، آیپد مینی نسل 5 به بعد.
- iOS 17.7.2 و iPadOS 17.7.2: آیفون XS و مدلهای جدیدتر، آیپد پرو (تمام مدلها از 12.9 اینچ نسل 2 به بعد)، آیپد پرو 10.5 اینچ، آیپد پرو 11 اینچ نسل 1 به بعد، آیپد ایر نسل 3 به بعد، آیپد نسل 6 به بعد، آیپد مینی نسل 5 به بعد.
- macOS Sequoia 15.1.1: مکهایی که از macOS Sequoia استفاده میکنند.
- visionOS 2.1.1: اپل ویژن پرو.
- Safari 18.1.1: مکهایی که از macOS Ventura و macOS Sonoma استفاده میکنند.
تا کنون در سال 2024، اپل چهار آسیبپذیری روز صفر را در نرمافزارهای خود اصلاح کرده است، از جمله CVE-2024-27834 که در مسابقات هک Pwn2Own Vancouver به نمایش درآمد. سه آسیبپذیری دیگر نیز در ژانویه و مارس 2024 برطرف شدند.
از کاربران خواسته میشود که دستگاههای خود را فوراً به آخرین نسخه بهروزرسانی کنند تا از تهدیدات احتمالی محافظت کنند.