روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ دو آپدیت مجزا برای مک‌اواس و آی‌اواس به ترتیب نقایص کرنل و وب‌کیت را پچ می‌کنند؛ نقایصی که اجازه می‌دهد عاملین تهدید کنترل دستگاه را به دست گرفته و بدان‌ حمله کنند. با ما همراه باشید تا کمی این دو آپدیت را بررسی کنیم. اپل از کارران مک‌اواس، آیفون و آیپد خود تقاضا کرده تا فوراً (همین هفته) نسبت به نصب آپدیت‌های مذکور اقدام کنند. آپدیت‌ها شامل فیکس‌های دو آسیب‌پذیری روز صفر می‌شوند که هم‌اکنون نیز عاملین تهدید در حال اکسپلویت از آن‌ها هستند. این پچ‌ها برای آسیب‌پذیری‌هایی هستند که با استفاده از آن‌ها مهاجمین قدرت پیدا می‌کنند کد دلخواه اجرا کرده و در نهایت کنترل دستگاه‌ها را دست بگیرند. پچ‌ها برای دستگاه‌های آلوده‌ای موجود است که آی‌اواس 15.6.1 می‌کنند؛ همینطور  macOS Monterey 12.5.1.. اپل روز چهارشنبه در مورد انتشار اآپدیت‌های امنیتی خود گفت پچ‌ها دو باگ را پوشش می‌دهند که در اصل هر دستگاه اپلی که بتواند یا آی‌اواس 15 یا نسخه Monetery  او‌اس دسکتاپش را اجرا کند می‌تواند چنین باگی را دریافت کرده و در معرضش قرار گیرد. یکی از این باگ‌ها باگِ کرنل است (با نام CVE-2022-32894) که هم در آی‌اواس و هم در مک‌اواس موجود است. به نقل از اپل، این باگ از نوع out-of-bounds write است که به اپ اجازه می‌دهد کد دلخواهی را با مزایای کرنل اجرا کند. اپل به همان سبک و سیاق مرموز خود (در لفافه) اعلام کرد این آسیب‌پذیری هم‌اکنون نیز در حال اکسپلویت شدن است.

باگ دوم به WebKit مربوط می‌شود (به نام CVE-2022-32893) که آن هم از نوع out-of-bounds write می‌باشد. این باگ پردازش آلوده و مخرب محتوای وب را برای مهاجمین ممکن می‌سازد که می‌تواند به اجرای کد منجر شود. طبق گزارشاتی که اپل داده این باگ را هم دارند اکسپلویت می‌کنند. وب‌کیت در حقیقت موتور وب‌گردی است که Safari و همه مرورگرهای طرف‌سوم دیگر را که با آی‌اواس کار می‌کنند مدیریت می‌کند.

سناریوی پگاسوس‌مانند

اپل همیشه جزئیات زیادی در مورد باگ‌ها نمی‌دهد تا حسابی مطمئن شود همه‌شان پچ شدند اما تا اینجای کار متوجه شدیم یکی از محققین نانشناس دو باگ مذکور را به اپل گزارش داده است. یکی از متخصصین ابراز نگرانی کرده و گفته است ممکن است باگ‌های جدید اپل به دسترسی کامل مهاجمین به دستگاه حتی کمک نیز بکنند. او می‌گوید این ممکن است سناریویی مشابه با سناریو پگاسوس باشد که در آن، aptهای دولتی تارگت‌ها را با جاسوس‌افزارهایی ساخت گروه ان اس او اسرائیل به رگبار بست (با اکسپلویت یک آسیب‌پذیریِ آیفون). راشل توباک مدیر ارشد اجرایی شرکت امنیتی SocialProof Security توییتی با این مضمون پست کرد، «برای بیشتر افراد: نرم‌افزار را تا آخر روز آپدیت کنید. اگر مدل تهدید پیشرفته بود (برای خبرنگاران، کنشگرها و کسانی که از سوی دولت مورد هدف قرار گرفته‌اند) همین الان آپدیت را انجام دهید».

وفور روز صفرها

این نقص‌ها در کنار اخبار این هفته گوگل که دارد پنجمین روز صفر خود را در سال جاری برای مرورگر کروم خود پچ می‌کند افشا شدند و این نشان می‌دهد اپل و گوگل، این دو غول فناوری روزانه با تهدیدهای بسیاری روبرو هستند. علی‌رغم تلاش‌های بی‌وقفه‌ی این شرکت‌ها برای رفع نقایص امنیتی نرم‌افزارهایشان هنوز هم مشکلاتی بر سر راه است. با توجه به فراگیر بودن آیفون‌ها و وابستگی کامل کاربران به دستگاه‌های تلفن همراه برای زندگی روزمره، باگ‌های iOS مشخصاً نگران کننده است. با این حال،وظیفه محافظت از این دستگاه‌ها تنها بر عهده فروشندگان نیست، بلکه کاربران نیز باید سطح آگاهی خود را در این خصوص بالاتر ببرند و فروشندگان را کمک کنند. گرچه همه ما این روزها بدون گوشی‌هایمان نمی‌توانیم زندگی کنیم، اما این را هم باید بدانیم که آنها آسیب‌ناپذیر نیستند و به عنوان کاربر باید از آن‌ها درست مانند سیستم‌عامل‌های دسکتاپی مراقبت کنیم. در عین حال، توسعه دهندگان اپ برای آیفون و سایر دستگاه‌های تلفن همراه نیز باید یک لایه اضافی از کنترل‌های امنیتی را در فناوری خود اضافه کنند تا با توجه به نقص‌هایی که اغلب ظاهر می‌شوند، کمتر به امنیت سیستم عامل برای محافظت متکی باشند. تجربه ثابت کرده این اتفاق هنوز به طور کافی نمی‌افتد و به طور بالقوه بانک‌ها و سایر مشتریان از این بابت آسیب‌پذیر خواهند بود.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.