اپل بهروزرسانی امنیتی جدیدی برای سیستمعاملهای iPadOS ،macOS ،iOS و watchOS منتشر کرده است که نقایص امنیتی بدون کلیکی را برطرف میکند که هکرها با کمک آنها از طریق یک «تصویر مخرب» یا هر فایل پیوست دیگری اقدام به نصب بدافزار میکنند.
به گزارش ArsTechnica این دو نقص امنیتی که با نامهای CVE-2023-41064 و CVE-2023-41061 شناخته میشوند، توسط آزمایشگاه میانرشتهای Citizen Lab از دانشگاه تورنتو گزارش شده است. Citizen Lab میگوید که این مشکلات کاملاً جدی هستند زیرا فقط با بارگذاری یک تصویر یا هر فایل پیوست دیگری در مرورگر سفاری، برنامه Messages، واتساپ و برنامههای دیگر میتوان از آنها سوء استفاده کرد. بنابراین در بسیاری از مواقع، نصب این بدافزارها حتی بدون هیچ کلیکی انجام میشود.
Citizen Lab همچنین اعلام کرد این باگ که با نام BLASTPASS نیز شناخته میشود، «برای ارائه جاسوسافزار Pegasus گروه NSO» نیز مورد استفاده قرار میگیرد.
راه مقابله با آسیبپذیری اپل
در ادامه این گزارش گفته شده کاربرانی که نگران این نقصها هستند، میتوانند با فعالکردن Lockdown Mode در دستگاههای iOS و macOS خود، آن را کم اثرتر کنند. استفاده از این حالت، بسیاری از انواع فایلهای پیوست شده را مسدود و پیشنمایش لینکها را نیز غیرفعال میکند.
Citizen Lab میگوید:
«ما معتقد هستیم و تیم مهندسی و معماری امنیتی اپل نیز این موضوع را به ما تأیید کرده است که Lockdown Mode این حمله خاص را مسدود میکند.»
این بهروزرسانی امنیتی تمام گوشیهای مدلهای آیفون ۶s، آیفون ۷، نسل اول آیفون SE، آیپد ایر ۲، نسل چهارم آیپد مینی و نسل هفتم آیپد تاچ را پوشش میدهد. همچنین هرچند هیچ حملهای برای رایانههای macOS گزارش نشده است، Citizen Lab توضیح میدهد که این نقص از نظر تئوری در این سیستم عامل نیز قابل بهرهبرداری است. بنابراین دریافت این بهروزرسانی کاملاً توصیه میشود.
اپل از ابتدای سال جاری میلادی، در مجموع ۱۳ نقص روز صفر را برطرف کرده است که دستگاههای دارای iOS ،macOS ،iPadOS و watchOS را هدف قرار دادهاند.
