Milyonlarla "iPhone" və "Mac" tətbiqi kritik qüsurlara görə 10 ildir ki, hakerlərə qarşı həssasdır.
Valyuta.az xəbər verir kii, E.V.A İnformasiya Təhlükəsizliyi ekspertlərinin hesabatına əsasən, istismarlar "Apple" qacetləri üçün bir çox məşhur proqramlar tərəfindən istifadə edilən açıq mənbəli "CocoaPods" repozitoriyada aşkar edilib.
CVE-2024-38368 olaraq təyin edilmiş birinci zəifliyin CVSS balı 9,3-dür. Bu, təcavüzkarlara "Claim Your Pods" prosesi vasitəsilə proqram paketləri üzərində nəzarəti əldə etməyə imkan verir. Bunun üçün təcavüzkar bütün əvvəlki tərtibatçıları layihədən çıxarmalıdır. Problem 2014-cü ilə təsadüf edir, "Trunk" serverinə miqrasiya minlərlə paketi sahibsiz qoyub, vicdansız istifadəçilərə onların nəzarətini ələ keçirmək üçün ictimai API və e-poçt ünvanından istifadə etməyə imkan verir.
İkinci boşluq, CVE-2024-38366 maksimum 10 bal toplayıb və etibarlı olmayan e-poçt yoxlama mexanizmi ilə əlaqələndirilir ki, bu da serverdə kodu icra etməyə və hədəf paketləri əvəz etməyə imkan verir.
Üçüncü zəiflik, 8,2 xalla CVE-2024-38367, e-poçtun yoxlanılması prosesinin manipulyasiyasını əhatə edir və təcavüzkarlara sorğuları seans nişanlarını oğurlamaq üçün zərərli domenlərə yönləndirməyə imkan verir. Bu, heç bir istifadəçi hərəkəti olmadan belə hücumlara səbəb ola bilər.
"CocoaPods" komandası 2023-cü ilin oktyabrında zəiflikləri aradan qaldırmaq üçün yamaqlar buraxmaqla və mümkün hücumların qarşısını almaq üçün bütün istifadəçi seanslarını sıfırlamaqla təhdidlərə cavab verib, lakin bu vəziyyət yalnız iyulun əvvəlində məlum olub
Paşa Məmmədli
