CERT-In تهدیدات با شدت بالا را در مرورگر iPhone، iPad، Mac، ChromeOS و Firefox شناسایی میکند
تیم واکنش اضطراری رایانه ای هند (CERT-In) که توسط وزارت الکترونیک و فناوری اطلاعات منصوب شده است، چندین آسیب پذیری با شدت بالا را در iOS، iPadOS و macOS اپل و همچنین مرورگر اینترنت ChromeOS Google و Mozilla Firefox کشف کرده است. iOS یک سیستم عامل برای مدلهای آیفون است، iPadOS روی مدلهای iPad اجرا میشود و macOS به رایانههای Mac قدرت میدهد. به گفته آژانس nodal، این آسیبپذیریها میتوانند برای دور زدن محدودیتهای امنیتی و ایجاد حملات انکار سرویس (DoS) که دستگاهها را غیرقابل استفاده میکنند، استفاده شوند.
بر اساس گزارش CERT-In، مکهای دارای macOS Catalina با بهروزرسانی امنیتی قبل از 2022-005، نسخههای macOS Big Sur قبل از 11.6.8 و نسخههای macOS Monterey قبل از 12.5 در معرض خطر هستند. آسیبپذیریها در نسخههای macOS و همچنین iOS و iPadOS میتوانند توسط یک مهاجم از راه دور با متقاعد کردن قربانی برای بازدید از یک وبسایت مخرب مورد سوء استفاده قرار گیرند. یک مجرم سایبری می تواند کد دلخواه را اجرا کند، محدودیت های امنیتی را دور بزند و شرایط DoS را در سیستم هدف ایجاد کند.
آسیبپذیریهای macOS به دلیل خواندن خارج از محدوده در AppleScript، SMB، و Kernel، نوشتن خارج از محدوده در Audio، ICU، PS Normalizer، GU Drivers، SMB و WebKit وجود دارد. مشکلات مجوز در AppleMobileFileIntegrity شناسایی شد. افشای اطلاعات در تقویم و کتابخانه عکس iCloud.
آسیب پذیری های مشابهی در نسخه های iOS و iPadOS قبل از 15.6 یافت شد. آسیبپذیریهای macOS به دلیل نوشتن خارج از محدوده در Audio، ICU، درایورهای GPU و WebKit، خواندن خارج از محدوده در ImageIO و Kernel، مشکلات مجوز یافت شده در AppleMobileFileIntegrity وجود دارد. افشای تقویم و iCloud Photo Library، از جمله.
در مورد موزیلا فایرفاکس، نسخههای قبل از 103، نسخههای ESR قبل از 102.1 و 91.12 آسیبپذیر بودند. این آسیبپذیریها به دلیل خطاهای ایمنی حافظه در موتور مرورگر، یکپارچگی منبع فرعی دور زدن حافظه پنهان، نشت اطلاعات تغییر مسیر منابع بین سایتی هنگام استفاده از APIهای عملکرد و موارد دیگر وجود دارد. این حفره ها می توانند به مهاجم اجازه دسترسی به اطلاعات حساس در سیستم هدف را بدهند.
آسیبپذیریهای Google ChromeOS تهدیدی تقریباً مشابه برای فایرفاکس هستند. آسیبپذیریها در نسخههای کانال Google ChromeOS LTS قبل از 96.0.4664.215 به دلیل خواندن خارج از محدوده در مؤلفه ترکیبی، اجرای نادرست در Extension API، یک اشکال بدون استفاده در مؤلفه Blink XSLT و موارد دیگر وجود دارد. .
CERT-In می گوید این آسیب پذیری ها را می توان با نصب به روز رسانی های نرم افزاری برطرف کرد. به کاربران این سیستم عامل ها و موزیلا فایرفاکس توصیه می شود در اسرع وقت نسبت به نصب وصله های نرم افزاری اقدام کنند.