طرحت شركة Apple يوم الأربعاء تصحيحات أمنية لإصلاح ثغرة يوم الصفر الجديدة في نظامي التشغيل iOS وiPadOS والتي تقول إنه يتم استغلالها بشكل نشط.
تتبع باسم CVE-2023-42824، يمكن استغلال ثغرة النواة من قبل مهاجم محلي لرفع امتيازاته. وقالت الشركة المصنعة لجهاز iPhone إنها أصلحت المشكلة عن طريق تحسين عناصر التحكم.
وقالت الشركة: “Apple على علم بتقرير يفيد بأن هذه المشكلة ربما تم استغلالها بشكل نشط ضد إصدارات iOS السابقة لنظام iOS 16.6”. ملحوظة في رأي مقتضب.
على الرغم من أن التفاصيل الإضافية حول طبيعة الهجمات وهوية الجهات التهديدية التي تنفذها غير معروفة حاليًا، فمن المحتمل أن يعتمد الاستغلال الناجح على قدرة المهاجم على الحصول بالفعل على موطئ قدم من خلال وسائل أخرى.
يتناول آخر تحديث من Apple أيضًا CVE-2023-5217 الذي يؤثر على مكون WebRTC، والذي وصفته Google الأسبوع الماضي بأنه تجاوز سعة المخزن المؤقت القائم على الكومة بتنسيق ضغط VP8 في libvpx.
تتوفر الإصلاحات iOS 17.0.3 وiPadOS 17.0.3 للأجهزة التالية:
- آيفون XS والإصدارات الأحدث
- iPad Pro مقاس 12.9 بوصة، الجيل الثاني والأحدث، iPad Pro مقاس 10.5 بوصة، الجيل الأول من iPad Pro مقاس 11 بوصة والأحدث، iPad Air الجيل الثالث والأحدث، iPad الجيل السادس والأحدث، وiPad mini الجيل الخامس والأحدث
وبهذا التطور الجديد، تمكنت شركة Apple من حل إجمالي 17 يومًا صفريًا مستغلًا بشكل نشط في برامجها منذ بداية العام.
ويأتي أيضًا بعد أسبوعين من طرح كوبرتينو تصحيحات لمعالجة ثلاث مشكلات (CVE-2023-41991، وCVE-2023-41992، وCVE-2023-41993)، والتي يُزعم أن جميعها قد تم إساءة استخدامها من قبل بائع برامج تجسس إسرائيلي يُدعى Cytrox. برنامج Predator الخبيث على هاتف iPhone التابع للنائب المصري السابق أحمد الطنطاوي في وقت سابق من هذا العام.
النقطة التي يجب ملاحظتها هنا هي أن CVE-2023-41992 يشير أيضًا إلى خلل في النواة يسمح للمهاجمين المحليين بتحقيق تصعيد الامتيازات.
ليس من الواضح على الفور ما إذا كان العيبان مرتبطان ببعضهما البعض وما إذا كان CVE-2023-42824 عبارة عن تجاوز تصحيحي لـ CVE-2023-41992.
قالت Sekoia، في تحليل حديث، إنها وجدت، في ديسمبر 2021، أوجه تشابه في البنية التحتية بين عملاء Cytrox (المعروفة أيضًا باسم Lycantrox) وشركة أخرى لبرامج التجسس التجارية تسمى Candiru (المعروفة أيضًا باسم Karkadann)، ويرجع ذلك على الأرجح إلى أنهم يستخدمون تقنيات برامج التجسس معًا.
تحدد شركة الأمن السيبراني الفرنسية أن “البنية التحتية التي تستخدمها Lycantrox تتكون من VPS مستضاف في العديد من الأنظمة المستقلة”. قاليبدو أن كل عميل يقوم بتشغيل مثيلات VPS الخاصة به وإدارة أسماء النطاقات الخاصة به المرتبطة بها.
يُنصح المستخدمون المعرضون لخطر الاستهداف بتمكين وضع التأمين لتقليل التعرض لبرامج التجسس المرتزقة.