أصدرت شركة Apple يوم الأربعاء تصحيحات أمنية لمعالجة ثغرة يوم الصفر الجديدة في نظامي التشغيل iOS وiPadOS والتي تقول إنها تم استغلالها بشكل نشط.
متابعة مثل CVE-2023-42824، يمكن استغلال ثغرة النواة من قبل مهاجم محلي لرفع امتيازاته. وقالت الشركة المصنعة لجهاز iPhone إنها عالجت المشكلة من خلال تحسين الاختبارات.
وقالت الشركة: “Apple على علم بتقرير يفيد بأن هذه المشكلة ربما تم استغلالها بشكل نشط ضد إصدارات iOS السابقة لنظام iOS 16.6”. ذكرت في استشارة قصيرة.
في حين أن المزيد من التفاصيل حول طبيعة الهجمات وهوية الجهات التهديدية التي تنفذها غير معروفة حاليًا، فمن المحتمل أن يعتمد الاستغلال الناجح على حصول المهاجم بالفعل على موطئ قدم أولي من خلال وسائل أخرى.
يعمل التحديث الأخير لشركة Apple أيضًا على حل مشكلة CVE-2023-5217 التي تؤثر على مكون WebRTC، والتي وصفتها Google الأسبوع الماضي بأنها استغلال قائم على المكدس بتنسيق ضغط VP8 في libvpx.
تتوفر التصحيحات iOS 17.0.3 وiPadOS 17.0.3 للأجهزة التالية –
- آيفون XS والإصدارات الأحدث
- iPad Pro مقاس 12.9 بوصة الجيل الثاني والأحدث، iPad Pro مقاس 10.5 بوصة، الجيل الأول من iPad Pro مقاس 11 بوصة والأحدث، iPad Air الجيل الثالث والأحدث، iPad الجيل السادس والأحدث، iPad mini الجيل الخامس والأحدث
ومع التطوير الجديد، استحوذت شركة Apple على ما مجموعه 17 يومًا صفريًا مستغلًا بشكل نشط في برامجها منذ بداية العام.
ويأتي أيضًا بعد أسبوعين من إصدار كوبرتينو تصحيحات لمعالجة ثلاث مشكلات (CVE-2023-41991، وCVE-2023-41992، وCVE-2023-41993)، والتي تم استغلالها جميعًا من قبل بائع برامج تجسس إسرائيلي يُدعى Cytrox لنقل البرامج الضارة لـ Predator. هاتف الآيفون الخاص بالنائب المصري السابق أحمد الطنطاوي في وقت سابق من هذا العام.
النقطة الجديرة بالملاحظة هنا هي أن CVE-2023-41992 يعالج أيضًا خللًا في kernel يسمح للمهاجمين المحليين بالحصول على تصعيد الامتيازات.
ليس من الواضح على الفور ما إذا كان العيبان مرتبطان ببعضهما البعض، وما إذا كان CVE-2023-42824 هو حل بديل لـ CVE-2023-41992.
قالت Sekoia، في تحليل حديث، إنها وجدت أوجه تشابه في البنية التحتية بين عملاء Cytrox (المعروفة أيضًا باسم Lycantrox) وشركة أخرى لبرامج التجسس التجارية تدعى Candiru (المعروفة أيضًا باسم Karkadann)، ويرجع ذلك على الأرجح إلى استخدام تقنيتي برامج التجسس.
“البنية التحتية التي تستخدمها Lycantrox تتكون من VPS مستضاف على عدة أنظمة مستقلة”، شركة الأمن السيبراني الفرنسية قالحيث يبدو أن كل عميل يقوم بتشغيل مثيلات VPS الخاصة به وإدارة أسماء النطاقات الخاصة به المرتبطة بها.
يُنصح المستخدمون المعرضون لخطر الاستهداف بتمكين وضع التأمين لتقليل التعرض لاستغلال برامج التجسس المرتزقة.
