تثير ثغرة WebKit أول تحديث أمني كبير لشركة Apple لعام 2024
لقد طرحت شركة Apple سلسلة من التصحيحات لنقاط الضعف المتعددة عبر نظامها البيئيومن بينها يوم الصفر الحاسم الذي تم اكتشافه في المصدر المفتوح WebKit محرك المتصفح الذي يشكل أسس متصفح الويب Safari.
يتم تتبع الثغرة الأمنية المعنية على أنها CVE-2024-23222، وقد تمت إضافته بالفعل إلى وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA’s). نقاط الضعف المستغلة المعروفة (KEV)، مما يعني أنها قد تكون مؤثرة بشكل خاص. وقالت شركة أبل إنها “على علم بتقرير يفيد بأن هذه المشكلة ربما تم استغلالها”.
CVE-2024-2322 هي مشكلة ارتباك من النوع حيث قد تؤدي معالجة محتوى الويب الضار إلى تمكين جهة التهديد من تنفيذ تعليمات برمجية عشوائية على جهاز الضحية.
يغطي التصحيح مجموعة واسعة من أجهزة Apple، بدءًا من أجهزة iPhone وiPad إلى أجهزة Mac، وحتى أجهزة Apple TV. تفصيل كامل للأجهزة المتضررة وإصدارات نظام التشغيل متاح من أبل.
وتعليقًا على يوم الصفر، قال آلان بافوسا، نائب رئيس المنتجات الأمنية في AppDomeوقال المتخصص في الدفاع عن تطبيقات الهاتف المحمول عبر كل من أجهزة iOS وAndroid: “إن الثغرة الأمنية CVE-2024-23222 من Apple واستغلالها في iOS 17.3 أمر مثير للقلق.
“إن نواقل الهجوم المحتملة المعترف بها، والتي تشمل تنفيذ التعليمات البرمجية عن بعد، وبرامج التجسس، واستغلال النواة، تؤكد خطورة هذا التهديد في مجال أمن الأجهزة المحمولة لأنها يمكن أن تسمح للمهاجمين بالتحكم الكامل في أجهزة iOS وتهديد أي تطبيقات أو حسابات غير محمية قيد التشغيل. على الجهاز”، على حد تعبيره.
تلتزم شركة Apple تقليديًا الصمت بشأن نقاط الضعف في منتجاتها، ونادرًا ما تقدم أكثر من معلومات مجردة لمنع المزيد من الجهات التهديدية من محاولة الاستغلال، وهذا هو الحال مرة أخرى بالنسبة لأول تحديث أمني رئيسي لها لهذا العام – ولم تقدم الشركة أي معلومات إضافية إلى حد الاستغلال، أو من قد يكون وراءه.
في الماضي، غالبًا ما تم استغلال أيام الصفر التي تؤثر على منتجاتها، وخاصة أجهزة iPhone، من قبل شركات برامج التجسس المرتزقة التي تعمل كأعمال مشروعة أثناء بيع منتجاتها وخدماتها للعملاء الحكوميين الذين يستخدمونها للتجسس على الأشخاص محل الاهتمام، مثل النشطاء، الصحفيين والمنافسين السياسيين.
وأشهر مثال حديث على ذلك هو حصان مجنح، وهي عبارة عن برنامج ضار طورته شركة NSO Group الإسرائيلية المشينة والتي تورطت في مقتل عام 2018 واشنطن بوست الصحفي والمعارض السعودي جمال خاشقجي في تركيا.
وفي أخبار ذات صلةدعوى قضائية ضد “إن إس أو” التي قدمتها شركة آبل في نوفمبر 2021تقدمت شركة NSO لصالح شركة Apple هذا الأسبوع عندما رفض قاضٍ أمريكي طلب NSO برفض القضية لصالح المحاكمة في إسرائيل. وقالت شركة NSO إنها ستواجه المزيد من التحديات إذا مضت المحاكمة قدما في الولايات المتحدة مقارنة بما ستواجهه في بلدها الأصلي.
وفي حكمه، أكد القاضي جيمس دوناتو أيضًا الأساس الذي تستند إليه شركة Apple في رفع دعوى قضائية بشأن انتهاكات قانون الاحتيال وإساءة استخدام الكمبيوتر الأمريكي، وقانون المنافسة غير العادلة في كاليفورنيا.
وتم منح NSO مهلة حتى عيد الحب، 14 فبراير، للرد على شكوى أبل، ومن المقرر عقد جلسة استماع أخرى لإدارة القضية في أبريل.
وقال المتحدثون باسم أبل للصحفيين وأنها ستواصل عملها لحماية المستخدمين من مطوري برامج التجسس المرتزقة.