نهمین آسیب‌پذیری روز صفر اپل وصله شد

 اپل در آخرین به‌روزرسانی‌ امنیتی منتشر شده‌ی خود، نهمین آسیب‌پذیری روز صفر مورد استفاده در حملات علیه آیفون‌ها از ابتدای سال جاری میلادی را وصله کرد.

باگ CVE-2022-42827، مشکل out-of-bounds write نامیده می‌شود و به دلیل نوشتن داده‌های نرم افزاری در خارج از محدوده بافر حافظه فعلی ایجاد می‌شود. نتایج نامشخص یا غیرمنتظره ناشی از این وضعیت، می‌تواند به خرابی داده‌ها (data corruption) و برنامه یا اجرای کد منجر شود.

لیست دستگاه‌های آسیب‌دیده شامل:

• آیفون 8 و بالاتر، تمامی مدل‌های آیپد Pro، آی‌پد Air نسل 3 به بعد، آی‌پد نسل 5 به بعد و آی‌پد مینی نسل 5 به بعد
• همچنین، اپل آسیب‌پذیری روز صفر iOS 16.1 و iPadOS 16 را با بررسی محدوه بافر حافظه بهبود یافته برطرف کرد.

آیفون و آیپد خود را وصله کنید

به گفته‌ی اپل، در صورت بهره برداری موفقیت آمیز از آسیب پذیری روز صفر، امکان اجرای کد دلخواه با دسترسی هسته (kernel) برای مهاجمان احتمالی فراهم می‌شود.

با وجود اطلاع اپل از اکسپلویت‌های فعال این آسیب‌پذیری، هنوز هیچ اطلاعاتی در مورد این حملات منتشر نشده است. در نتیجه، کاربران اپل باید دستگاه‌های خود را قبل از ایجاد اکسپلویت‌های بیشتر توسط مهاجمان و شروع استفاده از آنها در حملاتی که آیفون‌ها و آی‌پدهای آسیب‌پذیر را هدف قرار می‌دهند، وصله کنند.

به توصیه اپل حتی اگر این باگ روز صفر فقط در حملات بسیار هدفمند استفاده شود، نصب به‌روزرسانی‌های امنیتی برای جلوگیری از هرگونه تلاش برای حمله، شدیدا الزامی است.

سایر آسیب‌پذیری‌های روز صفر وصله شده‌ی اپل از ابتدای سال جاری

• در ماه سپتامبر، اپل نقص CVE-2022-32917 در هسته‌ی ios را برطرف کرد.
• در ماه آگوست، دو نقص روز صفر دیگر را در هسته iOS (CVE-2022-32894) و WebKit (CVE-2022-32893) وصله کرد.
• در ماه مارس، اپل دو نقص روز صفر را در درایور گرافیک اینتل (CVE-2022-22674) و AppleAVD (CVE-2022-22675) وصله کرد.
• در ماه فوریه، اپل به‌روزرسانی‌های امنیتی را برای رفع باگ دیگری از WebKit که برای هدف قرار دادن آیفون‌ها، آی‌پدها و مک‌ها مورد سوء استفاده قرار می‌گرفت، منتشر کرد.
• در ماه ژانویه، اپل یک جفت نقص روز صفر دیگر را اصلاح کرد که امکان اجرای کد با دسترسی هسته (CVE-2022-22587) و شناسایی فعالیت مرور وب (CVE-2022-22594) را فراهم می‌آورد.