اپل اخیراً وصله‌های امنیتی جدیدی برای یک آسیب‌پذیری روز صفر (Zero-Day) منتشر کرده است که به گفته این شرکت، ممکن است در حمله‌ای بسیار پیچیده علیه افراد خاص مورد سوءاستفاده قرار گرفته باشد. این آسیب‌پذیری که با کد «CVE-2025-24201» شناخته می‌شود، در موتور مرورگر «WebKit» که پایه و اساس مرورگر سافاری و بسیاری از اپلیکیشن‌های دیگر است، یافت شده است.

نحوه سوءاستفاده هکرها از آسیب‌پذیری WebKit در حملات پیچیده

طبق گزارش «Bleepingcomputer»، این آسیب‌پذیری به مهاجمان اجازه می‌دهد با استفاده از محتوای وب مخرب، از سندباکس امنیتی WebKit خارج شوند و به بخش‌های دیگر سیستم‌عامل دسترسی پیدا کنند. سندباکس (Sandbox) لایه‌ امنیتی مهمی در سیستم‌عامل است که حتی درصورت نفوذ اولیه، مانع دسترسی مهاجمان به داده‌های حیاتی سیستم می‌شود. خروج از این محیط به هکرها امکان می‌دهد کنترل بیشتری بر دستگاه قربانی داشته باشند.

این آسیب‌پذیری در طیف وسیعی از دستگاه‌های اپل تأثیر گذاشته است، ازجمله:

• تمامی مدل‌های آیفون، از آیفون XS به بعد
• مدل‌های مختلف آیپد، شامل:
  • آیپد پرو 13 اینچی
  • آیپد پرو 12.9 اینچی (نسل سوم و جدیدتر)
  • آیپد پرو 11اینچی (نسل اول و جدیدتر)
  • آیپد ایر (نسل سوم و جدیدتر)
  • آیپد (نسل هفتم و جدیدتر)
  • آیپد مینی (نسل پنجم و جدیدتر)
• دستگاه‌های مک مجهز به macOS Sequoia
• هدست واقعیت ترکیبی (اپل ویژن پرو)

اپل این نقص امنیتی را با انتشار به‌روزرسانی‌های جدید برای iOS 18.3.2 ،iPadOS 18.3.2 ،macOS Sequoia 15.3.2 ،visionOS 2.3.2 و Safari 18.3.1 برطرف کرده است. این به‌روزرسانی شامل بهبودهایی در بررسی‌های امنیتی برای جلوگیری از عملیات غیرمجاز در حافظه دستگاه است.

اپل در اطلاعیه رسمی خود اعلام کرده این آسیب‌پذیری پیش‌ازاین در iOS 17.2 مسدود شده بود اما این وصله جدید اصلاحیه‌ای تکمیلی برای مقابله با حملات احتمالی دیگر ارائه می‌کند. البته شرکت هنوز اطلاعاتی درباره مهاجمان یا اهداف حمله ارائه نکرده است.

جزئیات به‌روزرسانی امنیتی اپل برای رفع آسیب‌پذیری WebKit

اپل به‌ندرت از عبارت حمله بسیار پیچیده علیه افراد خاص در بیانیه‌های خود استفاده می‌کند اما این دومین باری است که در سال جاری چنین عبارتی را به کار برده. آخرین مورد مشابه فوریه 2025 (بهمن 1403) گزارش شد اما هنوز مشخص نیست این 2 حمله به هم مرتبط‌اند یا خیر.

کارشناسان امنیتی هشدار داده‌اند معمولاً گروه‌های هکری پیشرفته، دولت‌ها یا سازمان‌های جاسوسی حملاتی از این نوع انجام می‌دهند و هدف اصلی آنها افراد خاص، فعالان، روزنامه‌نگاران، سیاستمداران یا مدیران شرکت‌های بزرگ است.

بااینکه این آسیب‌پذیری برای حمله به افراد خاص استفاده شده است، توصیه می‌شود همه کاربران دستگاه‌های اپل در اسرع وقت به‌روزرسانی جدید را نصب کنند.

ممکن است هکرها از این آسیب‌پذیری برای حملات گسترده‌تر در آینده استفاده کنند. تاریخچه حملات نشان داده گروه‌های هکری پس از افشای آسیب‌پذیری، سریعاً راه‌هایی برای سوءاستفاده بیشتر از آن پیدا می‌کنند. تأخیر در نصب به‌روزرسانی ممکن است شما را در برابر حملات جدید آسیب‌پذیر کند.

اپل بار دیگر نشان داد امنیت کاربرانش را جدی می‌گیرد و با انتشار سریع وصله‌های امنیتی به تهدیدات واکنش نشان می‌دهد.