شرکت اپل روز سهشنبه ۲۶ اسفند ۱۴۰۴، نخستین سری از «بهبودهای امنیتی پسزمینه» (Background Security Improvements) خود را برای رفع یک نقص امنیتی جدی در موتور چیدمان وبکیت منتشر کرد. این آسیبپذیری که سیستمعاملهای آیاواس، آیپداواس و مکاواس را تحت تاثیر قرار داده بود، به مهاجمان اجازه میداد با استفاده از محتوای مخرب، محدودیتهای امنیتی دستگاه را دور بزنند.
این حفره امنیتی که با شناسه CVE-2026-20643 ردیابی میشود، مربوط به یک نقص در رابط برنامهنویسی در موتور وبکیت است. به گفته پژوهشگران، این ایراد امکان سوءاستفاده از لایه حفاظتی مهمی که مانع از دسترسی وبسایتهای مخرب به دادههای حساس سایر تبهای باز در مرورگر یا اپلیکیشنها میشد را فراهم میکرد.
اپل اعلام کرده است که این مشکل در نسخههای ۲۶.۳.۱ سیستمعاملهای موبایلی و نسخههای ۲۶.۳.۱ و ۲۶.۳.۲ مکاواس وجود داشت که اکنون با بهبود فرآیند اعتبارسنجی ورودیها، در نسخههای اصلاحشده برطرف شده است.
قابلیت جدید «بهبودهای امنیتی پسزمینه» که اپل در این نوبت از آن بهره برده، سازوکاری برای ارائه وصلههای امنیتی سبک و مداوم برای اجزای حیاتی سیستم مانند مرورگر سافاری و کتابخانههای سیستمی است. هدف از این رویکرد، بینیاز کردن کاربران از دانلود و نصب بهروزرسانیهای حجیم نرمافزاری برای رفع ایرادهای کوچک اما حساس است.
کارشناسان امنیتی توصیه میکنند کاربران گزینه نصب خودکار این بهبودها را فعال نگاه دارند؛ چرا که در صورت غیرفعال بودن، رفع این آسیبپذیریها تا زمان انتشار بهروزرسانی بزرگ بعدی سیستمعامل به تعویق خواهد افتاد.
توماس اسپاخ، پژوهشگر امنیتی که این نقص را کشف و گزارش کرده معتقد است سرعت عمل در وصله کردن موتور وبکیت بسیار حیاتی است، زیرا این موتور زیربنای اصلی نمایش وب در تمامی محصولات اپل محسوب میشود.
انتشار این وصله اضطراری تنها یک ماه پس از آن صورت میگیرد که اپل یک آسیبپذیری روز صفر دیگر را که به طور فعال توسط هکرها برای اجرای کدهای مخرب استفاده میشد، اصلاح کرد. همچنین در هفته گذشته، این غول فناوری وصلههای مربوط به چهار حفره امنیتی دیگر را که در کیتهای اکسپلویت مورد استفاده قرار میگرفتند، گسترش داد تا امنیت کاربران خود را در برابر حملات هدفمند تقویت کند.
توضیحات بیشتر:
Apple Fixes WebKit Vulnerability Enabling Same-Origin Policy Bypass on iOS and macOS