دارسو همراه
دارسو همراه
خواندن ۳ دقیقه·۱ سال پیش

باگ امنیتی جدید و خطرناک اپل + راه‌حل‌های حفاظت از دستگاه‌های شما


هفته گذشته، در یک سازمان جامعه مدنی در واشنگتن دی سی، Citizen Labوقتی دستگاه شخصی کارمندان را بررسی می‌کرد، یک آسیب‌پذیری خطرناک را کشف کرد. این آسیب‌پذیری بدون نیاز به هیچ کلیکی از سوی فرد مورد حمله، به کمک نرم‌افزار مخرب Pegasus توسط گروه NSO به کار می‌رفت.

این آسیب‌پذیری به نام BLASTPASSمعرفی شد. با استفاده از این آسیب‌پذیری، حمله‌کنندگان توانستند به آیفون‌هایی که آخرین نسخه iOS (نسخه 16.6) را داشتند، بدون دخالت فرد مالک دستگاه، حمله کنند. این حمله شامل ارسال پیوست‌هایی از طریق PassKit بود که تصاویر مخربی را شامل می‌شدند که توسط حساب کاربری iMessageمهاجم به قربانی ارسال می‌شد.

سیتیزن لب سریعاً این موضوع را به Appleاطلاع داد و در تحقیقات و تجزیه و تحلیل آن به اپل کمک کرد. در نتیجه، اپل دو CVE (شناسه‌های آسیب‌پذیری) به نام CVE-2023-41064 و CVE-2023-41061را منتشر کرد و کاربران دستگاه‌های اپل را تشویق کرد تا به سرعت نسخه‌های به‌روزرسانی شده را نصب کنند تا از این حمله‌ها جلوگیری شود.

همچنین، Citizen Labبه همه افراد توصیه کرد که برای افزایش امنیت، حالت قفل کردن (Lock down) دستگاه‌های خود را فعال کنند. اپل تأکید می‌کند که این تغییرات امنیتی برای مسدود کردن حمله‌ از این نوع موثر است.

این واقعه نشان می‌دهد که جامعه مدنی هدف سوءاستفاده‌های پیچیده و نرم‌افزارهای جاسوسی می‌شود. به‌روزرسانی‌های ایجاد شده توسط اپل، دستگاه‌های کاربران عادی، شرکت‌ها و دولت‌ها را در سراسر دنیا ایمن می‌کند. کشف آسیب‌پذیری BLASTPASSاهمیت امنیت سایبری و حمایت از سازمان‌های جامعه مدنی را به وضوح نمایان می‌کند.

راه حل جلوگیری از هک شدن در اپل توسط باگ امنیتی iOS 16.6.1

اول باید به روزرسانی های امنیتی و جدید اپل را دریافت کنید. برای اینکار:

  • به بخش تنظیمات <setting> بروید.
  • به بخش <General>بروید.
  • روی <Software Update> ضربه بزنید.
  • آخرین آپدیت را دانلود و نصب کنید.
  • سپس گوشی را ریستارت کنید.

بعد از روشن شدن گوشی مراحل زیر را دنبال کنید:

  • به بخش تنظیمات <setting> بروید.
  • به بخش <Privacy & Security> بروید.
  • به انتهای صفحه اسکرول کنید.
  • روی <Lockdown Mode> ضربه بزنید.
  • روی <Turn on Lockdown Mode> ضربه بزنید.
برای آگاهی از جدیدترین اخبار تکنولوژی و امنیت ویرگول یا وبلاگ دارسو را دنبال کنید.


درباره به‌روزرسانی‌های امنیتی iOS 16.6.1 و iPadOS 16.6.1

در اینجا، درباره به‌روزرسانی‌های امنیتی iOS 16.6.1 و iPadOS 16.6.1 صحبت می‌کنیم. اپل امور امنیتی را تا زمانی که تحقیقات مرتبط به پایان نرسند و نسخه‌های به‌روزرسانی در دسترس قرار نگیرند، رسماً اعلام نمی‌کند. اطلاعات جزئی‌تر درباره این به‌روزرسانی‌ها در صفحه انتشارات امنیتی اپل قابل مشاهده است.

تاریخ انتشار به روزرسانی های امنیتی: 7 سپتامبر 2023

باگ ImageIO

- این به‌روزرسانی برای دستگاه‌های آیفون 8 و بالاتر، تمام مدل‌های آیپد پرو، آیپد ایر نسل 3 به بعد، آیپد نسل 5 به بعد و آیپد مینی نسل پنجم و بالاتر در دسترس است.

تأثیر: در این به‌روزرسانی، یک مشکل بافر برای پردازش تصویرهای مخرب برطرف شده است که ممکن است به اجرای کد ناخواسته منجر شود. اپل از گزارشی آگاه است که این موضوع ممکن است به طور فعال مورد سوءاستفاده قرار گیرد.

توضیحات : این به‌روزرسانی باعث بهبود مدیریت حافظه و رفع مشکل سرریز بافر میشود.

CVE-2023-41064

باگ کیف پول

- این به‌روزرسانی نیز برای دستگاه‌های آیفون 8 و بالاتر، تمام مدل‌های آیپد پرو، آیپد ایر نسل 3 به بعد، آیپد نسل 5 به بعد و آیپد مینی نسل پنجم و بالاتر در دسترس است.

تأثیر: در این مورد نیز، یک پیوست مخرب ساخته شده ممکن است به اجرای کد ناخواسته منجر شود.

توضیحات: در این به‌روزرسانی، یک مشکل اعتبارسنجی با منطق بهبود یافته و حل شده است.

CVE-2023-41061

منظور از CVE چیست؟

در واقع CVE یک شناسه‌ی آسیب‌پذیری امنیتی است که به یک آسیب‌پذیری خاص در نرم‌افزار یا سیستم اشاره دارد. در این مورد، CVE-2023-41061به یک آسیب‌پذیری خاص در نرم‌افزار یا سیستم iOS 16.6.1و iPadOS 16.6.1 اشاره می‌کند. این شناسه به اطلاع می‌رساند که این آسیب‌پذیری توسط تیم امنیتی Citizen Lab در دانشکده مانک دانشگاه تورنتو کشف شده است.

این نوع شناسه‌ها به محققان امنیتی و کاربران اطلاعاتی در مورد آسیب‌پذیری‌های امنیتی اطلاعاتی می‌دهد تا بتوانند نسبت به تشخیص و رفع مشکلات امنیتی اقدام کنند. شرکت‌های نرم‌افزاری معمولاً پس از شناسایی یک CVE، به‌روزرسانی‌ها و تصحیح مشکلات امنیتی را شروع می‌کنند تا کاربران را از تهدیدهای امنیتی حفظ کنند.

منابع:

https://support.apple.com/en-us/HT213905

https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/

مشکلات امنیتیآیفوناپلباگ امنیتیهک
فروشگاه اینترنتی دارسو خرید گوشی موبایل، تبلت، ساعت هوشمند، هدفون، لپ تاپ، لوازم صوتی و لوازم جانبی به همراه مقایسه، ارسال فوری و رایگان به سراسر کشور
شاید از این پست‌ها خوشتان بیاید