حملات XSS و اجرای کد مخرب در کمین کاربران Apple
به گزارش پایگاه خبری میعاد، دو آسیبپذیری بحرانی با شناسههای CVE-2024-44308 و CVE-2024-44309 در محصولات Apple کشف شده است که به مهاجم اجازه میدهد کد دلخواه را اجرا کند و یا حملات Cross-Site Scripting (XSS) را انجام دهد. این آسیبپذیریها ممکن است به طور فعال در سیستمهای مبتنی بر Intel Mac مورد بهرهبرداری قرار گرفته باشند.
آسیبپذیری CVE-2024-44308 با شدت ۸.۸ به دلیل نقص در بررسی ورودی هنگام پردازش محتوای وب بهطور مخرب ایجاد میشود. مهاجم میتواند با ارسال محتوای وب خاص، کد دلخواه خود را روی سیستم قربانی اجرا کند. این نقص بر روی نسخههای قدیمی Safari و سیستمعاملهای مرتبط تأثیر میگذارد.
آسیبپذیری CVE-2024-44309 با شدت ۶.۳ ناشی از نقص در مدیریت حالت کوکیها است که امکان تزریق اسکریپت مخرب در صفحات وب را به مهاجم میدهد. این حمله میتواند برای دسترسی به اطلاعات حساس کاربران مورد بهرهبرداری قرار گیرد و منجر به حمله Cross-Site Scripting (XSS) شود
این دو آسیبپذیری نسخههای زیر از محصولات Apple را تحت تأثیر قرار داده است:
Safari:
نسخه عرضه شده: ۱۸.۱.۱
نسخه آسیبپذیر: قبل از ۱۸.۱.۱
iOS:
نسخه عرضه شده: ۱۸.۱.۱ و ۱۷.۲.۲
نسخه آسیبپذیر: قبل از ۱۸.۱.۱ و ۱۷.۲.۲
iPadOS:
نسخه عرضه شده: ۱۸.۱.۱ و ۱۷.۲.۲
نسخه آسیبپذیر: قبل از ۱۸.۱.۱ و ۱۷.۲.۲
macOS Sequoia:
نسخه عرضه شده: ۱۵.۱.۱
نسخه آسیبپذیر: قبل از ۱۵.۱.۱
visionOS:
نسخه عرضه شده: ۲۱.۱.۱
نسخه آسیبپذیر: قبل از ۲۱.۱.۱
خبرنگار: بهناز عسگری