شرکت اپل به تازگی بهروزرسانی جدیدی را برای مرورگر سافاری خود منتشر کرده تا با استفاده از آن بتواند آسیبپذیری بسیار مهم و خطرناکی را که تعدادی از سیستمعاملهای این شرکت را تحت تاثیر قرار میداد را برطرف کند.
نسخه 15.6.1 مرورگر سافاری اکنون برای نسخههای بیگ سر و کاتالینا سیستمعامل مک برای دانلود در دسترس قرار دارد و این شرکت به همه کاربران خود توصیه میکند که آن را سریعا روی دستگاههای خود نصب نمایند. پچ امنیتی CVE-2022-32893 یکی از جدیترین نقضهای امنیتی مربوط به نوشتن خارج از محدوده را در WebKit، موتور سافاری که توسط برنامههای دیگر با دسترسی به وب نیز قابل استفاده است، اصلاح میکند.
اپل اکنون تایید کرده است که ظاهرا این آسیبپذیری از قبل به صورتی عمومی مورد استفاده قرار گرفته است. هکرها با استفاده از آن میتوانستند تا کدهایی را به دستگاه قربانی ارسال و سپس آن را روی دستگاه او اجرا کنند. شرکت اپل در توصیه امنیتی خود میگوید:
این موتور پردازش محتوای وب با آسیبپذیری که داشت، باعث میشد تا هکرها بتوانند کدهای دلخواه را اجرا کنند. اپل از گزارشی آگاه است که ممکن است به صورتی گسترده از این مشکل سو استفاده شده باشد.
آسیبپذیری نوشتن خارج از محدوده زمانی اتفاق میافتد که یک عامل تعداد، یک برنامه ورودی را مجبور کند تا قبل از شروع یا بعد از پایان بافر حافظه، دادههایی را بنویسد. این کار در نهایت باعث خراب شدن برنامه و دادهها میشود و به هکرها این اجازه را میدهد تا از راه دور کدهای مورد نظر خود را اجرا کنند.
با توجه به این موضوع که آسیبپذیری گفته شده اکنون به صورتی گسترده مورد سو استفاده قرار میگیرد، اپل هیچ اطلاعات اضافهتری را در مورد آن منتشر نخواهد کرد. این شرکت گفت که یکی از کاربران ناشناس آنها این نقض امنیتی را به آنها اطلاع داده است و این باگ اکنون برطرف شده است.
شرکت اپل در سال جاری میلادی تعداد بسیار زیادی از باگهای روز صفر را برطرف کرده است. در ماه ژانویه بود که دو آسیبپذیری CVE-2022-22578 و CVE-2022-22594 را برطرف کرد که امکان اجرای کد دلخواه با امکان دسترسی به هسته را در اختیار هکرها قرار میداد.
تقریبا یک ماه از رفع شدن دو باگ گفته شده گذشته بود که آسیبپذیری روز صفر دیگری را اصلاح کرد که بر آیفونها، آیپدها و مکها تاثیر میگذاشت و به هکرها اجازه میداد تا سیستمعامل را خراب و کدهای خود را از راه دور اجرا کنند. در ماه مارس هم اپل آسیبپذیریهای CVE-2022-22674 و CVE-2022-22675 را اصلاح کرد که امکان دسترسی مستقیم هسته و اجرا کدهای مورد نظرشان را داشتند.