Apple rushes out patches for two 0-days threatening iOS and macOS users

April 3, 2022

Less than a minute

ثغرات يوم الصفر.. آبل تسارع لتصحيح ثغرات تهدد مستخدمي الـ آي أو إس والماك

English
العربية

The Sun

Apple on Thursday released fixes for two critical zero-day vulnerabilities in iPhones, iPads, and Macs that give hackers dangerous access to the internals of the OSes the devices run on.

Apple credited an anonymous researcher with discovering both vulnerabilities. The first vulnerability, CVE-2022-22675, resides in macOS for Monterey and in iOS or iPadOS for most iPhone and iPad models. The flaw, which stems from an out-of-bounds write issue, gives hackers the ability to execute malicious code that runs with privileges of the kernel, the most security-sensitive region of the OS. CVE-2022-22674, meanwhile, also results from an out-of-bounds read issue that can lead to the disclosure of kernel memory.

Apple disclosed bare-bones details for the flaws here and here. “Apple is aware of a report that this issue may have been actively exploited,” the company wrote of both vulnerabilities.

Raining down Apple zero-days

CVE-2022-22674 and CVE-2022-22675 are the fourth and fifth zero-days Apple has patched this year. In January, the company rushed out patches for iOS, iPadOS, macOS Monterey, watchOS, tvOS, and HomePod Software to fix a zero-day memory corruption flaw that could give exploiters the ability to execute code with kernel privileges. The bug, tracked as CVE-2022-22587, resided in the IOMobileFrameBuffer. A separate vulnerability, CVE-2022-22594, made it possible for websites to track sensitive user information. The exploit code for that vulnerability was released publicly prior to the patch being issued.

Apple in February pushed out a fix for a use after free bug in the Webkit browser engine that gave attackers the ability to run malicious code on iPhones, iPads, and iPod Touches. Apple said that reports it received indicated the vulnerability—CVE-2022-22620—might also have been actively exploited.

A spreadsheet Google security researchers maintain to track zero-days shows Apple fixed a total of 12 such vulnerabilities in 2021. Among those was a flaw in iMessage that the Pegasus spyware framework was targeting using a zero-click exploit, meaning devices were infected merely by receiving a malicious message, without any user action required. Two zero-days that Apple patched in May made it possible for attackers to infect fully up-to-date devices.

الشرق

الدوحة: حذرت شركة ” Apple” من وجود أخطاء خطيرة وجدتها في هواتف “آيفون” بإمكان القراصنة استخدامها للاستيلاء على الجهاز، ومن المهم تحديث نظام التشغيل للأجهزة المحمولة، وفقًا لتقرير صحيفة “ذا صن” البريطانية.

وفي ذات السياق قالت “آبل” إن هناك ثغرتين تسمحان للتطبيقات المارقة ” بأن تنفذ تعليمات برمجية عشوائية عن طريق بعض الامتيازات المسموحة في الثغرة الجديدة”.

وتفسيرًا لذلك، فإنه يعني أن المتسللين يمكنهم استخدام التطبيقات حتى يستهدفون أجزاء مهمة من الجهاز الخاص بك.

كما أفادت شركة “آبل” إنها على دراية بالتقارير التي تقر بأنه “ربما اُستغلت المشكلة بشكل نشط” من قبل المحتالين.

ويُطلق على هذه الثغرات مسمى “ثغرات يوم الصفر”، ويعني أن الخطأ كان موجودًا ومن المحتمل أنه تم استغلاله قبل أن تتوفر إصلاحات الثغرات، ولا يُعرف ما الذي قد يترتب عليه.

ولتصحيح هذه الثغرات على جهازك الخاص، كل ما عليك فعله هو تحديث هاتفك الآيفون.

وحتى تتفادى الاختراقات الناتجة عن الأخطاء والثغرات في نظام التشغيل، يُفضل أن تقوم بتشغيل التحديثات التلقائية، حيث تصحح هذه التحديثات الأخطاء التي من الممكن أن يستغلها المجرمون.

وللتذكير، قبل أي تحديث رئيسي لهاتفك، عليك التأكد من عمل نسخة احتياطية؛ لتقليل خطر فقدان بياناتك إذا حدثت مشكلة أثناء التحديث.

وللقيام بذلك، توجه إلى إعدادات “” iCloudعلى جهازك، ثم تشغيل خاصية ” iCloud Backup”.

ويمكن بدلاً من ذلك أن تقوم بتوصيل هاتفك بـ””iTunes، ثم اختيار “النسخ الاحتياطي الآن”.

وإن كنت تريد الطريقة السهلة لتحديث جهاز الآيفون، وتعد لا سلكية، فما عليك سوى اتباع هذه الخطوات:

• توصيل الجهاز بمقبس الطاقة، والاتصال بشبكة “” Wi-Fi.

• الذهاب إلى “”Setting، ثم إلى “”General، والضغط على “Update”.

• النقر فوق “تنزيل وتثبيت” للتحديث على الفور، أو قم بتوصيل الهاتف طوال الليل ليحدّث تلقائيًا.

• قد تضطر إلى إدخال رمز المرور الخاص بك.

وإذا لم تكن هناك مساحة كافية للتحديث على الهاتف، فقد يتم سؤالك عما إذا كان بإمكان “آبل” أن تزيل بعض التطبيقات مؤقتًا. ولا داعٍ للقلق، حيث ستقوم “آبل” بإعادة تثبيت أي تطبيقات محذوفة، بما في ذلك أي بيانات خُزنت على تلك التطبيقات.