شرکت اپل در هفته جاری با تأیید وجود تهدیدات جدی، آپدیت های امنیتی فوری را برای رفع دو آسیب پذیری حیاتی روز صفر (Zero-Day) منتشر کرد. این آسیب پذیری ها در حملات پیچیده و واقعی علیه افراد خاص مورد بهره برداری قرار گرفتهاند. این پچ های امنیتی بخشی از یک به روز رسانی اضطراری گسترده هستند که سیستم عامل های iOS، iPadOS، macOS، watchOS، tvOS و مرورگر سافاری اپل را پوشش می دهند.
به گزارش بخش اخبار فناوری زوم تک به نقل از The Cyber Security Hub، این نقص ها که با شناسه های CVE-2025-43529 و CVE-2025-14174 ردیابی میشوند، در موتور مرورگر WebKit قرار دارند؛ موتوری که قدرت بخش سافاری است و محتوای وب را در بسیاری از اپلیکیشن های اپل مدیریت میکند. از آنجایی که WebKit بهطور عمیق با عملیات دستگاه ادغام شده است، مهاجمان میتوانند تنها با هدایت کاربران به محتوای وب مخرب و بدون نیاز به هیچگونه تعامل اضافی فراتر از بارگذاری یک صفحه وب، از این ضعف ها سوءاستفاده کنند.
جزئیات فنی آسیب پذیری های جدید وبکیت
طبق اعلام رسمی اپل، این دو آسیبپذیری روز صفر بر نحوه مدیریت حافظه در WebKit تأثیر میگذارند:
- آسیبپذیری CVE-2025-43529: این نقص یک خطای استفاده پس از آزادسازی (use-after-free) است؛ نوعی نقص که در آن نرمافزار تلاش میکند از حافظهای که قبلاً آزاد شده است استفاده کند. این وضعیت به مهاجمان نقطه ورودی برای اجرای کد دلخواه میدهد. این ایراد توسط “گروه تحلیل تهدیدات گوگل” (Google TAG) شناسایی شده است که تیمی متمرکز بر کشف تهدیدات پیچیده سایبری است.
- آسیبپذیری CVE-2025-14174: این مورد شامل فساد حافظه (Memory Corruption) است. این آسیبپذیری که کشف آن به محققان اپل و گوگل TAG نسبت داده شده است، میتواند به محتوای مخرب اجازه دهد تا پایداری حافظه دستگاه را مختل کرده و بهطور بالقوه منجر به نفوذ شود.
در بولتن امنیتی رسمی اپل آمده است که هر دو نقص “ممکن است در یک حمله بسیار پیچیده علیه افراد خاصِ هدف قرار گرفته” بر روی دستگاههایی که نسخههای قدیمیتر iOS را اجرا میکردند، مورد بهرهبرداری قرار گرفته باشند.
لیست دستگاه های اپل که در معرض خطر هستند
این آسیبپذیریها طیف وسیعی از سختافزارهای موبایل اپل را تحت تأثیر قرار میدهند، از جمله:
- آیفون ۱۱ و مدلهای جدیدتر
- مدلهای آیپد پرو (۱۲.۹ اینچی نسل سوم به بعد و ۱۱ اینچی نسل اول به بعد)
- آیپد ایر (نسل سوم و جدیدتر)
- آیپد (نسل هشتم و جدیدتر)
- آیپد مینی (نسل پنجم و جدیدتر)
برای کاهش این تهدید، اپل پچهای امنیتی را در نسخههای نرمافزاری زیر منتشر کرده است: iOS 18.7.3، iPadOS 18.7.3، macOS Tahoe 26.2، سیستمعامل OS 26.2 (برای اپل واچ، tvOS و visionOS) و سافاری ۲۶.۲.
همکاری غول های فناوری و افشای هماهنگ
بهروزرسانی این هفته اپل تقریباً همزمان با اقدام گوگل صورت گرفت که یک آسیبپذیری روز صفر مرتبط را در مرورگر کروم خود وصله کرد. این باگ ابتدا با شماره 466192044 لیست شده بود و سپس به CVE-2025-14174 مرتبط شد. این موضوع بر افشای هماهنگ (Coordinated Disclosure) بین این دو غول فناوری و نگرانی مشترک آنها در مورد سوءاستفاده فعال از این حفرهها تأکید دارد.
کارشناسان امنیت سایبری خاطرنشان میکنند که دخالت “گروه تحلیل تهدیدات گوگل” — که به ردیابی بازیگران دولتی شهرت دارد — نشان میدهد که این حملات ممکن است شبیه به سایر کمپینهای نظارتی با دقت بالا در سالهای اخیر باشد؛ کمپینهایی که در آنها جاسوسافزارها (Spyware) به جای عموم مردم، علیه دیپلماتها، روزنامهنگاران، فعالان یا مدیران شرکتها به کار گرفته میشوند.
افزایش حملات سایبری هدفمند در سال ۲۰۲۵
واکنش این هفته اپل، مجموع تعداد آسیبپذیریهای روز صفر وصلهشده در سال ۲۰۲۵ را به حداقل هفت مورد میرساند که شامل نقصهای قبلی WebKit و سایر باگهای پرخطر در اجزای اصلی سیستم میشود. این موارد شامل CVE-2025-24085 در ژانویه، چندین مشکل WebKit در اوایل بهار و یک روز صفر جداگانه است که در سپتامبر برای دستگاههای قدیمیتر با iOS 15 و 16 منتشر شد.
تحلیلگران امنیت سایبری میگویند فرکانس و پیچیدگی این حوادث نشاندهنده یک روند گستردهتر و رو به رشد از حملات هدفمند به iOS است. آنها به کمپینهای گذشته مانند عملیات مثلثسازی (Operation Triangulation) اشاره میکنند؛ یک زنجیره اکسپلویت پیچیده آیفون که اولین بار در سال ۲۰۲۳ فاش شد و از چندین باگ روز صفر برای استقرار جاسوسافزار استفاده کرد و ماهها شناسایینشده باقی ماند. اگرچه این موارد مستقیماً به آسیبپذیریهای فعلی مرتبط نیستند، اما چنین حوادثی نشان میدهند که بازیگران تهدید پیشرفته چگونه علیه پلتفرمهای موبایل عمل میکنند.
کاربران چه اقدامی باید انجام دهند؟
اگرچه اپل اعلام کرده که این آسیبپذیریهای روز صفر عمدتاً در حملات هدفمند استفاده شدهاند، اما قویاً توصیه میشود که تمام کاربران برای مسدود کردن سوءاستفادههای احتمالی و جلوگیری از تهدیدات نوظهور، بلافاصله آخرین آپدیتهای امنیتی را نصب کنند.
برای بهروزرسانی، کاربران میتوانند در آیفون و آیپد به مسیر Settings > General > Software Update بروند یا در macOS از بخش System Preferences استفاده کنند. برای دستگاههای قدیمیتر که قابلیت ارتقا به جدیدترین نسخههای سیستمعامل را ندارند، اپل معمولاً در صورت امکان پچهای امنیتی مستقلی ارائه میدهد.





نظرات در مورد : آپدیت اضطراری اپل برای مقابله با دو آسیب پذیری روز صفر خطرناک؛ همین حالا به روز رسانی کنید