اپل اشکال iOS 13 که به صفحه‌کلیدهای شخص ثالث دسترسی کامل می‌دهد، وصله می‌کند

اپل در ۲۷ سپتامبر برای iOS 13 و iPadOS به‌روزرسانی امنیتی منتشر کرد تا یک آسیب‌پذیری را که به افزونه‌های صفحه کلید شخص ثالث اجازه می‌دهد تا بدون اعطای مجوز به دسترسی کامل دست پیدا کنند، رفع کند.

اپل در اوایل هفته‌ی گذشته اعلام کرد که این اشکال تنها دستگاه‌هایی را تحت تأثیر قرار می‌دهد که در آن‌ها صفحه کلیدهای شخص ثالث مجوزهای دسترسی کامل را درخواست می‌کنند، اما صفحه کلیدهای اپل یا صفحه کلیدهای شخص ثالث را که از دسترسی کامل استفاده نمی‌کنند، تحت تأثیر قرار نمی‌دهد. مجوزهای دسترسی کامل به یک برنامه اجازه می‌دهد تا منابع را از یک سرور راه دور واکشی کند. در iOS افزونه‌های صفحه کلید شخص ثالث می‌توانند به گونه‌ای طراحی شوند که کاملاً مستقل اجرا شوند، به این معنا که آن‌ها به خدمات خارجی دسترسی نخواهند داشت.

این آسیب‌پذیری امنیتی که با شناسه‌ی CVE-2019-8779 ردیابی می‌شود، به یک برنامه صفحه کلید مخرب اجازه می‌دهد تا هر آن‌چه که کاربر تایپ می‌کند ضبط کند و این اطلاعات را به سرور مهاجم ارسال کند.

بااین‌حال، خطر بهره‌برداری از آن نسبتاً پایین خواهد بود، زیرا چنین صفحه کلیدی ابتدا باید فرآیند تأیید اپل را طی کند و سپس توسط قربانیان بارگیری و نصب شود.

در ۲۷ سپتامبر، اپل از انتشار iOS 13.1.1 و  iPadOS 13.1.1 خبر داد که با اعمال محدودیت‌های جعبه‌ی شنی درست برای افزونه‌های برنامه‌ی شخص ثالث این مسأله را رفع می‌کند.

این به‌روزرسانی که تنها چند روز پس از انتشار iOS 13 منتشر شد، در iPhone 6s و نسخه‌های بعدی، iPad Air 2  و نسخه‌های بعدی، iPad mini 4 و نسخه‌های بعدی و iPod touch  نسل هفتم عرضه شده است.

در اوایل هفته‌ی گذشته، اپل مسأله‌ی دیگری را در iOS 13 رفع کرده است که دسترسی به تماس‌ها را برای هر شخصی که دسترسی فیزیکی به دستگاه دارد، به‌طور مستقیم از طریق صفحه‌ی قفل فراهم می‌کرد.

در ۲۶ سپتامبر، شرکت فناوری مستقر در Cupertino به‌روزرسانی‌های امنیتی برای macOS، watchOS و iOS 12.4.1 را منتشر کرد. به‌روزرسانی اخیر macOS Mojave 10.14.6، به‌روزرسانی امنیتی High Sierra 2019-005 و به‌روزرسانی Sierra Security ۲۰۱۹-۰۰۵ یک آسیب‌پذیری خواندن خارج از محدوده را رفع می‌کند که به یک مهاجم اجازه می‌دهد تا برنامه را به‌طور غیرمنتظره خاتمه دهد یا کد دلخواه را اجرا کند.

این آسیب‌پذیری امنیتی که با شناسه‌ی CVE-2019-8641 ردیابی می‌شود و توسط پژوهش‌گران پروژه‌ی صفر گوگل کشف شده است، با اعتبارسنجی ورودی بهبودیافته رفع کرده است. همان آسیب‌پذیری در iOS و watchOS با انتشار iOS 12.4.2 و watchOS 5.3.2 رفع شده است.

این دو به‌روزرسانی برای macOS Sierra 10.12.6، macOS High Sierra 10.13.6 و macOS Mojave 10.14.6، iPhone 5s، iPhone 6، iPhone 6 Plus، iPad Air، iPad mini 2، iPad mini 3 و iPod touch  نسل ششم و Apple Watch Series 1 و Apple Watch Series 2 منتشر شده است.

منبع

Related posts

Leave a Comment

هفده − 5 =