آبل تصلح ثغرتين مكشوفتين استُغلتَّا لاختراق آيفون وآيباد وماك

أصدرت شركة آبل تحديثات أمنية طارئة لمعالجة ثغرتين جديدتين مكشوفتين استُغلّتا في هجمات إلكترونية لاختراق هواتف آيفون الذكية، وحواسيب آيباد اللوحية، وحواسيب ماك الشخصية.

وقالت الشركة يوم الجمعة في نشرتين أمنيتين تصفان المشكلات: «إن آبل على علم بالتقرير الذي يفيد بأن هذه المشكلة قد استُغلّت على نحو نشط».

ويمكن للثغرة الأمنية الأولى، التي تُتعقَّب تحت المُعرِّف CVE-2023-28206، أن تؤدي إلى تلف البيانات، أو حدوث عطل، أو تنفيذ التعليمات البرمجية. ويسمح الاستغلال الناجح لهذه الثغرة للمهاجمين باستخدام تطبيق ضار لتنفيذ التعليمات البرمجية التعسفية مع امتيازات النواة على الأجهزة المستهدفة.

وعلى غرار الثغرة الأولى، قد تؤدي الثغرة الأخرى، التي تُتعقَّب تحت المُعرِّف CVE-2023-28205، إلى تلف البيانات، أو التنفيذ التعسفي للتعليمات البرمجية حين إعادة استخدام الذاكرة المُحرَّرة.

ويمكن استغلال هذه الثغرة عن طريق خداع الأهداف لتحميل صفحات ويب ضارة تحت سيطرة المهاجمين، مما قد يؤدي إلى تنفيذ التعليمات البرمجية على الأنظمة المخترقة.

وعالجت آبل الثغرتين المكشوفتين في الإصدار ذي الرقم 16.4.1 من نظامي التشغيل (آي أو إس) و(آيباد أو إس)، ومتصفح الويب (سفاري)، وفي الإصدار ذي الرقم 13.3.1 من نظام التشغيل (ماك أو إس فنتورا) مع تحسين التحقق من صحة الإدخال وإدارة الذاكرة.

وتقول شركة آبل إن قائمة الأجهزة المتأثرة واسعة جدًا، وتشمل: هاتف آيفون 8 وما بعده، وطُرز الحاسوب اللوحي آيباد برو جميعها، والجيل الثالث من الحاسوب اللوحي آيباد أير وما بعده، والجيل الخامس من حاسوبي آيباد وآيباد ميني وما بعده، بالإضافة إلى حواسيب ماك الشخصية التي تعمل بنظام التشغيل (ماك أو إس فنتورا).

وعلى الرغم من أن آبل تقول إنها على دراية بتقارير الاستغلال النشط، لم تنشر الشركة بعدُ معلوماتٍ بشأن هذه الهجمات.

ومع ذلك، فقد كشفت أن (مجموعة تحليل التهديدات) Threat Analysis Group من جوجل، و(المختبر الأمني) Security Lab التابع لمنظمة العفو الدولية هما من أبلغها بالثغرتين بعد اكتشاف عاملين لديهما بأنهما مستغَلان كجزء من سلسلة استغلال.

وتكشف كلتا المنظمتين بانتظام عن حملات تستغل الثغرات المكشوفة التي تسيء استخدامها جهات التهديد الفاعلة التي ترعاها حكومات لنشر برامج تجسس تجارية في الهواتف الذكية وأجهزة الحاسوب الخاصة بالسياسيين، والصحفيين، والمعارضين وغيرهم من الأفراد المعرضين للخطر في جميع أنحاء العالم.

وفي الأسبوع الماضي، كشفت (مجموعة تحليل التهديدات) لدى جوجل ومنظمة العفو الدولية عن سلسلتين حديثتين من الهجمات باستخدام سلاسل الاستغلال في نظامي أندرويد و(آي أو إس)، ومتصفح الويب كروم.

ومن المرجح أن تكون الثغرتان المكشوفتان اللتان عالجتهما آبل الآن قد استغلتا في هجمات شديدة الاستهداف، لذا يُوصى بشدة بتثبيت تحديثات الطوارئ هذه في أقرب وقت ممكن لمنع محاولات الهجوم المحتملة.

وفي شهر شباط/ فبراير الماضي، عالجت شركة آبل ثغرة مكشوفة في محرك (ويب كيت) WebKit استُغلّت في هجمات لتعطيل نظام التشغيل، وتنفيذ التعليمات البرمجية على أجهزة آيفون وآيباد وماك غير الحصينة.