آپدیت iOS 14.8 و macOS 11.6 برای مقابله با یک آسیبپذیری خطرناک منتشر شد
اپل ساعاتی مانده به برگزاری مراسم معرفی آیفون ۱۳، بهروزرسانیهای جدیدی برای macOS ،iPadOS ،iOS و watchOS منتشر کرد تا آسیبپذیری خطرناک «ForcedEntry» مورد استفاده نرم افزار «پگاسوس» را که محققان شرکت Citizen Lab آن را کشف کرده بودند، برطرف کند. این آسیبپذیری به سازمانهای دولتی اجازه میدهد روی دستگاه خبرنگاران، وکلا و فعالان شهروندی جاسوسافزار نصب کنند.
بر اساس یادداشت اپل، iOS 14.8 یک بهروزرسانی امنیتی است که نصب آن به همه کاربران توصیه میشود. این شرکت میگوید بهروزرسانیهای نرمافزاری جدید آنها دو آسیبپذیری بزرگ را برطرف میکنند که احتمالا در جهان واقعی مورد سوءاستفاده قرار گرفتهاند.
نرمافزارهای اپل به باگی در بخش CoreGraphics آلودهاند که اجازه میدهد فایلهای PDF مخرب منجر به اجرای کدهای دلخواه مهاجمان شوند. همچنین، گفته شده این نسخه از باگی در بخش WebKit رنج میبرد که اجازه میدهد مهاجمان کدهای خود را از طریق محتواهای مخرب تحت وب اجرا کنند.
اگرچه اپل بهطور مستقیم به آسیبپذیری کشفشده توسط «سیتیزن لب» اشاره نکرده، اما آسیبپذیری دوم میتواند همان باگ خطرناک روز صفری باشد که توسط نرمافزار Pegasus شرکت NSO مورد استفاده قرار گرفته تا نفوذ به آیفونها را ممکن کند. پگاسوس اطلاعات خصوصی افراد، تصاویر، پیامها و موقعیت مکانی آنها را در اختیار مشتریان دولتی NSO قرار میدهد.
شرکت سیتیزن لب از این آسیبپذیری با اسم ForcedEntry یاد میکند چون قادر است تدابیر دفاعی iOS 14 موسوم به BlastDoor را که قرار بود مانع از اجرای مخفیانه حملات شود، دور بزند. این شرکت میگوید آسیبپذیری ForcedEntry از نقطه ضعفی در چگونگی رندر تصاویر در نمایشگر آیفون سوءاستفاده میکند.
سیتیزن لب در تاریخ ۷ سپتامبر (۱۶ شهریور) یافتههای خود را با اپل به اشتراک گذاشته و آنها هم امروز بهروزرسانیهای خود را منتشر کردهاند. برای ارتقای ایمنی محصولات اپل بهتر است همین الان دستگاههای خود را به macOS Big Sur 11.6, iOS 14.8 و watchOS 7.6.2 بهروز کنید. این آپدیتها احتمالا آخرین بهروزرسانیهای نرمافزاری اپل قبل از انتشار نسخههای بعدی سیستم عاملهای این شرکت هستند.
