یکی از آسیب پذیری ها توسط Citizen Lab و دیگری توسط تیم تجزیه و تحلیل تهدید Google پیدا شد.

اپل برای سه آسیب پذیری در macOS Catalina و iOS 12.5.5 به روزرسانی های امنیتی را منتشر کرد که در حال حاضر در عمل مورد بهره برداری قرار می گیرند.

 CVE-2021-30869 یک آسیب پذیری XNU است که در macOS ، iPhone 5s ، iPhone 6 ، iPhone 6 Plus ، iPad Air ، iPad mini 2 ، iPad mini 3 و iPod touch یافت می شود و به برنامه های مخرب امکان اجرای کد دلخواه با امتیازات هسته را می دهد.

اپل اعلام کرد که گزارشاتی مبنی بر سوءاستفاده از این آسیب پذیری وجود دارد و گفت که “با بهبود وضعیت” ، این مشکل توسط اعضای گروه تجزیه و تحلیل تهدید Google Erye Hernandez و Clément Lecigne و همچنین Ian Beer از Google Project Zero کشف شده است.

CVE-2021-30860 توسط Citizen Lab کشف شد و ممکن است به جاسوس افزار NSO Pegasus متصل باشد که برای نفوذ به دستگاه های اپل استفاده می شد. این آسیب پذیری بر iPhone 5s ، iPhone 6 ، iPhone 6 Plus ، iPad Air ، iPad mini 2 ، iPad mini 3 و iPod )touch   نسل ششم) تأثیر می گذارد.

هنگامی که Citizen Lab امسال گزارش های متعددی را منتشر کرد که نشان می داد چگونه جاسوس افزار NSO Pegasus به برخی از کشورها و بازیگران جنایتکار دسترسی کامل به دستگاه های اپل می دهد ، خشم بزرگی به دنبال داشت. CVE-2021-30860 ، همانطور که Citizen Lab در آخرین گزارش خود توصیف کرده است ، به تهدیدکنندگان می تواند از پردازش یک فایل PDF مخرب برای اجرای کد دلخواه استفاده کند، اجازه دهد.

اپل در این نسخه اعتراف کرد که به طور فعال مورد سوء استفاده قرار گرفته است و گفت که “با بهبود اعتبار ورودی” به آن رسیدگی شده است.

آسیب پذیری سوم-CVE-2021-30858-بر روی دو دستگاه اول تأثیر می گذارد و ناشناس ارسال شده است. اپل توضیح داد که این آسیب پذیری به چگونگی پردازش محتوای وب ایجاد شده به صورت مخرب می تواند منجر به اجرای کد دلخواه شود. اپل نیز مانند بقیه گفت که می داند که ممکن است به طور فعال مورد سوء استفاده قرار گیرد.

اپل گفت که آنها این مشکل را با “بهبود مدیریت حافظه” حل کرده اند.