به‌روزرسانی‌های امنیتی شرکت اپل منتشر شد

وصله‌های امنیتی که اپل در هفته‌ی جاری برای iOS‌، macOS، سافاری، tvOS و watchOS منتشر کرد، شامل وصله‌هایی برای ۲۱ آسیب‌پذیری است که موتور مرورگر وب‌کیت متن‌باز را تحت تأثیر قرار می‌دهد. این اشکال‌ها شامل ۲۰ مسأله‌ی خرابی حافظه‌ هستند که در طول پردازش محتوای وب مخرب منجر به اجرای کد دلخواه می‌شوند.

اپل بیان می‌کند که این آسیب‌پذیری‌ها را با بهبود مدیریت حافظه رفع کرده است. علاوه‌برآن، این شرکت یک آسیب‌پذیری خارج از محدوده را در وب‌کیت وصله کرد که می‌تواند موجب افشای حافظه‌ی فرآیند در زمان پردازش محتوای وب مخرب شود. اپل برای رفع این مسأله اعتبارسنجی ورودی را بهبود داده است.

وصله‌های منتشرشده برای این آسیب‌پذیری‌ها همچنین شامل سافاری ۱۲٫۱٫۱ است. علاوه‌بر آسیب‌پذیری‌های موجود در وب‌کیت، اپل ۲۱ آسیب‌پذیری دیگر در iOS را رفع کرده است. این اشکال‌ها مؤلفه‌هایی مانند Contacts، Disk Images،‌ کرنل،‌ صفحه‌ی قفل، ایمیل، Mail Message Framework، Photo storage، SQLite، نوار وضعیت و وای‌فای را تحت تأثیر قرار می‌دهند.

بهره‌برداری از این اشکال‌ها ممکن است منجر به اجرای کد دلخواه، افشای حافظه‌ی محدود، نوشتن حافظه‌ی کرنل، افزایش امتیاز، دور زدن محدودیت‌های سندباکس، تغییر فایل سیستم یا ردیابی دستگاه شود. همه‌ی این مسائل در iOS 12.3 رفع شده است و درحال‌حاضر در آیفون ۵s و نسخه‌های بعدی، iPad Air و نسخه‌های بعدی آن و نسل ششم iPod touch توسعه داده می‌شود.

در مجموع ۴۵ آسیب‌پذیری با انتشار macOS Mojave 10.14.5، به‌روزرسانی امنیتی ۲۰۱۹-۰۰۳ High Sierra، به‌روزرسانی امنیتی ۲۰۱۹-۰۰۳ Sierra برای macOS Sierra 10.12.6، macOS High Sierra ۱۰٫۱۳٫۶ و macOS Mojave 10.14.4 رفع شد. مؤلفه‌هایی که تحت تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند، شامل چارچوب قابلیت دسترسی، AMD، دیواره‌ی آتش، CoreAudio، Disk Images، EFI، درایور گرافیکی اینتل، کرنل، امنیت، SQLite و وب‌کیت هستند. این آسیب‌پذیری‌ها می‌تواند منجر به اجرای کد دلخواه، دور زدن بررسی‌های Gatekeeper، بارگیری افزونه‌های کرنل بدون امضا، خواندن و نوشتن حافظه‌ی کرنل و افزایش امتیاز و سایر موارد شوند.

tvOs ۱۲٫۳ دارای وصله‌هایی برای ۳۵ آسیب‌پذیری است که شامل ۲۱ آسیب‌پذیری وب‌کیت است. سایر مؤلفه‌های آسیب‌دیده شامل CoreAudio، Disk Images، کرنل، SQLite، Sysdiagnose و وای‌فای هستند. watchOS 5.2.1 با وصله‌هایی برای ۲۱ آسیب‌پذیری منتشر شد که شامل ۴ آسیب‌پذیری وب‌کیت است. سایر مؤلفه‌های آسیب‌دیده نیز شامل CoreAudio، Disk Images، کرنل، ایمیل، Mail Message Framework،  SQLite، Sysdiagnose و وای‌فای هستند.

نرم‌افزار Apple TV 7.3 نیز با وصله‌هایی برای ۳ آسیب‌پذیری که بلوتوث و وای‌فای را تحت تأثیر قرار می‌داد، منتشر شد. یک مهاجم با بهره‌برداری از این آسیب‌پذیری‌های می‌تواند موجب خاتمه یافتن غیرمنتظره‌ی یک برنامه و اجرای کد دلخواه شود و یا می‌تواند کد دلخواه را در تراشه‌ی وای‌فای اجرا کند.

منبع

پست‌های مشابه

Leave a Comment

یک × پنج =