iOS 16.3. تتضمن تحديثات macOS 13.2 تصحيحات خاصة بالثغرات الأمنية الرئيسية التي اكتشفها باحثو الأمن

قامت Apple بإصلاح ثغرتين رئيسيتين للثغرات الأمنية مع iOS 16.3 و macOS 13.2 لنماذج iPhone و iPad و Mac المدعومة ، وفقًا للتفاصيل التي تمت مشاركتها من قبل شركة أبحاث أمنية. تم طرح هذه التحديثات للمستخدمين الشهر الماضي ، وجاءت مع إصلاحات أخطاء وتصحيحات أمان مهمة. عزت شركة Apple الفضل للباحثين في العثور على هذه العيوب ، والتي سمحت للمستخدم البعيد بتجاوز الحماية التي وضعتها Apple والوصول إلى البيانات الشخصية للمستخدم بالإضافة إلى الكاميرا والميكروفون وسجل المكالمات.

تشرح شركة الأبحاث الأمنية Trellix في منشور مدونة أن Apple قدمت إصلاحات أمنية لمنع الاستغلال الأمني ​​ForcedEntry الذي تستخدمه مجموعة NSO ، مبتكر برنامج Pegasus الضار الشنيع ، في عام 2021. ومع ذلك ، وجدت الشركة أن هذه الحماية الأمنية يمكن تجاوزها بواسطة جهاز تحكم عن بعد المستخدم ، وأبلغ Apple عن العيوب.

يُقال إن شركة Apple قد استخدمت بروتوكولًا يسمى NSPredicateVisitor لتعزيز أمان أداة NSPredicate الخاصة بها ، والتي يستخدمها المطورون لتصفية الكود. يمكن لبرامج استغلال الثغرات مثل ForcedEntry تجاوز هذه الآلية للوصول إلى جهاز المستخدم.

يمكن للمهاجم استخدام الثغرة الأمنية لتجاوز وضع الحماية الذي يمنع تطبيقًا واحدًا من الوصول إلى بيانات التطبيقات الأخرى على الجهاز ، بالإضافة إلى المعلومات الحساسة أو الشخصية ، وفقًا لشركة الأمان. يمكن أن يشمل ذلك الرسائل وسجلات المكالمات والصور وتفاصيل الموقع بالإضافة إلى أجهزة الهاتف الذكي مثل الكاميرا والميكروفون.

ومع ذلك ، يبدو أنه لا يوجد دليل على أن هذه العيوب قد تم استغلالها من قبل جهات خبيثة. وفي الوقت نفسه ، يجب حماية المستخدمين الذين قاموا بتحديث أجهزتهم إلى أحدث إصدار من iOS و macOS من هذه العيوب الأمنية ، وفقًا لـ Trellix.

قامت Apple أيضًا بتحديث ملاحظات الإصدار الخاصة بها لنظامي التشغيل iOS 16.3 و macOS 13.2 ، وكلا الوثيقتين يقران أوستن إميت كبير الباحثين الأمني ​​في Trellix بتحديد عيبين أمنيين – CVE-2023-23530 و CVE-2023-23531 – على أنظمة تشغيل الأجهزة المحمولة وسطح المكتب. وفي الوقت نفسه ، شكر Trellix شركة Apple على العمل بسرعة مع الشركة لحل كل من العيوب الأمنية.