به گزارش کارگروه امنیت سایبربان؛ شرکت اپل آپدیت های امنیتی را برای اصلاح دو آسیب پذیری روز صفر منتشر کرده است. یکی از این آسیب پذیری های به صورت عمومی افشا شده و آسیب پذیری دیگر، در حملات مورد بهره برداری مهاجمین قرار گرفته است. مهاجمین با بهره برداری از این آسیب پذیری، آیفون ها و مک ها را هک می کند.
اولین آسیب پذیری که امروز اصلاح شد (CVE-2022-22587) یک باگ خرابی حافظه در IOMobileFrameBuffer است که iOS، iPadOS و macOS Monterey را تحت الشعاع قرار می دهد.
بهره برداری موفق از این باگ منجر به اجرای کد دلخواه بر روی دستگاه در معرض خطر گرفته است. طبق ادعای اپل این باگ به صورت فعالی مورد بهره برداری قرار داشته است.
لیست کامل دستگاه های تحت الشعاع قرار گرفته توسط این آسیب پذیری عبارت است از:
- iPhone 6s به بعد
- تمامی مدل های iPad Pro
- iPad Air 2 به بعد
- نسل پنجم به بعد آی پد
- iPad mini 4 به بعد
- iPod touch (نسل هفتم)
- macOS Monterey
این باگ توسط محققینی به نام میثم فیروزی و Siddharth Aeri شناسایی شده بود.
دومین باگ روز صفر یک باگ سافاری وب کیت در آی او اس و آی پد او اس است که این امکان را به وبسایت ها می داد تا فعالیت های مرورگر کاربران و هویت آن ها را ردیابی کنند.
این آسیب پذیری (CVE-2022-22594) روز 28 نوامبر 2021 توسط مارتین باجانیک، محقق شرکت فینگرپرینت جی اس شناسایی و روز 14 ژانویه 2022 به صورت عمومی افشا شد.
این باگ امروز در آپدیت امنیتی iOS 15.3 و iPadOS 15.3 اصلاح شد.
