قالت شركة آبل إن التحديث البرمجي الذي أصدرته قبل أسبوعين لهواتف آيفون الذكية أصلح ثغرة أمنية مكشوفة، وكشفت أن تلك الثغرة قد استُغلت.
وكانت آبل قد أطلقت الإصدار iOS 16.1.2 في 30 تشرين الثاني/ نوفمبر الماضي لهواتف آيفون المدعومة جميعها، وذلك لهاتف آيفون 8 وما أُطلق بعده. وجاء الإصدار الجديد بتحديثات أمنية مهمة لم تحددها الشركة.
وكشفت آبل على صفحة تحديثات الأمان الخاصة بها أن التحديث أصلح خللًا في محرك التصفح WebKit الذي يشُغل متصفحها سفاري Safari والتطبيقات الأخرى، وباستغلاله يمكن لجهات التهديد الفاعلة أن تُشغِّل تعليمات برمجية ضارة على جهاز الضحية.
وقالت شركة آبل إن مجموعة تحليل التهديدات Threat Analysis Group التابعة لشركة غوغل، والتي تحقق في برامج التجسس والقرصنة والهجمات الإلكترونية المدعومة حكوميًا، اكتشفت الثغرة في محرك WebKit.
يُشار إلى أنه غالبًا ما تُستغلّ ثغرات WebKit حينما يزور المستخدم نطاقًا ضارًا في متصفحه، أو عبر صفحات التصفح في التطبيقات الأخرى. وتسعى جهات التهديد الفاعلة إلى استغلال الثغرات الأمنية في محرك التصفح بوصفها طريقة لاقتحام نظام التشغيل وبيانات المستخدمين الخاصة. ويمكن ربط ثغرات WebKit بثغرات أخرى لاختراق طبقات متعددة من دفاعات الجهاز.
وقالت آبل إنها على علم باستغلال الثغرة الأمنية في إصدارات نظام iOS قبل الإصدار 15.1، الذي أُصدر في شهر تشرين الأول/ أكتوبر 2021. ولمستخدمي تلك الإصدارات، الذين لم يُحدِّثوا إلى iOS 16 بعد، أصدرت الشركة أيضًا الإصدار 15.7.2 من نظامي iOS و iPadOS لإصلاح ثغرة WebKit لأولئك الذين يستخدمون هاتف آيفون 6إس وما بعده وبعض طُرز حواسيب آيباد اللوحية.
ويجري الآن تتبع الثغرة تحت المُعرِّف CVE-2022-42856 أو WebKit 247562. وليس من الواضح سبب كتم آبل لتفاصيل الثغرة لمدة أسبوعين.
تجدر الإشارة أيضًا إلى أن آبل أصدرت قبل يومين نظام التشغيل iOS 16.2، الذي يتضمن ميزة التشفير من طرف إلى طرف للبيانات في النسخ الاحتياطية في خدمة التخزين السحابي آيكلاود iCloud، بالإضافة إلى ميزات أخرى.