كان الباحثون في مجموعة تحليل التهديدات في جوجل مشغولين أكثر من أي وقت مضى، بالاكتشافات التي أدت إلى الكشف عن ثلاث نقاط ضعف عالية الخطورة قيد الاستغلال النشط في نظام تشغيل أبل ومتصفح كروم خلال 48 ساعة.
أبل يوم الخميس قال لقد أصدرت تحديثات أمنية أصلحت اثنتين من نقاط الضعف الموجودة في iOS وmacOS وiPadOS. كلاهما موجود في WebKit، المحرك الذي يشغل Safari ومجموعة واسعة من التطبيقات الأخرى، بما في ذلك Apple Mail وApp Store وجميع المتصفحات التي تعمل على أجهزة iPhone وiPad. وبينما ينطبق التحديث على جميع الإصدارات المدعومة من نظام التشغيل Apple، فإن الكشف الذي تم الكشف عنه يوم الخميس يشير إلى هجمات برية تستغل الثغرات الأمنية المستهدفة في الإصدارات السابقة من نظام التشغيل iOS.
وكتب مسؤولو شركة Apple عن الثغرات الأمنية التي تم تتبعها باسم CVE-2023-42916 وCVE-2023-42917: “Apple على علم بتقرير يفيد بأن هذه المشكلة ربما تم استغلالها ضد إصدارات iOS السابقة لنظام iOS 16.7.1”.
CVE-2023-42916 عبارة عن مكالمة خارج الحدود تسمح للمتسللين بالحصول على معلومات حساسة عندما تقوم التطبيقات التي تدعم WebKit بمعالجة المحتوى المصمم خصيصًا عبر الإنترنت. CVE-2023-42917 هو خلل في الذاكرة يتسبب في قيام الأجهزة الضعيفة بتنفيذ تعليمات برمجية ضارة عند عرض محتوى أنشأه المتسللون لتطبيق WebKit. نسبت شركة Apple الفضل إلى Clément Lecigne من TAG في اكتشاف نقطتي الضعف. ولم تقدم أبل ولا جوجل تفاصيل حول هجمات اليوم صفر.
جوجل يوم الثلاثاء قال لقد أصدرت تحديثًا أصلح سبع نقاط ضعف في Chrome، إحداها كانت صفر يوم، مما يعني أن Google علمت بها بعد أن كانت عمليات استغلال الثغرات متاحة بالفعل. ولم تقدم جوجل تفاصيل إضافية تتعلق باليوم صفر.
يرجع الخطأ، الذي تم تتبعه بالرقم CVE-2023-6345، إلى تدفق الأعداد الصحيحة، وهو نوع شائع من الثغرات الأمنية يسمح للمتسللين بتنفيذ تعليمات برمجية ضارة عندما تقوم الأهداف بمعالجة محتوى معد خصيصًا. الثغرة الأمنية موجودة في مكون Skia في المتصفح. ونسبت Google الفضل إلى Benoît Sevens وClément Lecigne من TAG للإبلاغ عن الثغرة الأمنية.
يتم إرسال تحديثات Apple وGoogle تلقائيًا إلى الأجهزة المتأثرة. يتم تثبيت التحديثات عند قيام المستخدمين بإعادة تشغيل أجهزتهم أو إعادة تشغيل المتصفح. من المحتمل أن يتلقى المستخدمون إشعارات إذا مر وقت كافٍ دون إعادة التشغيل. يمكن لمستخدمي iOS وmacOS وiPadOS تثبيت التحديثات يدويًا عن طريق الوصول إلى إعدادات النظام وتحديد علامة التبويب عام. لتثبيت تحديث Chrome يدويًا، حدد النقاط الرأسية الثلاث في الزاوية العلوية اليمنى من النافذة وحدد تحديث.