اپل هفتهی گذشته برای رفع دهها آسیبپذیری امنیتی موجود در iOS، iPadOS، macOS Catalina و سایر محصولات بهروزرسانیهای نرمافزاری منتشر کرد. در مجموع ۲۳ آسیبپذیری را در iOS 13.3.1 و iPadOS 13.3.1 رفع کرد و درحالحاضر وصلههایی برای iPhone 6s و نسخههای بعدی، iPad Air 2 و نسخههای بعدی، iPad mini 4 و نسخههای بعدی و iPod touch نسل هفتم منتشر کرد.
این آسیبپذیریها مؤلفههایی مانند Audio، FaceTime، ImageIO، IOAcceleratorFamily، IPSec، Kernel، libxpc، Mail، Messages، Phone، Safari Login AutoFill، Screenshots و wifivelocityd را تحت تأثیر قرار میدهد. اپل در مشاورهنامهی خود تشریح کرد که بهرهبرداری موفقیتآمیز از بسیاری از این آسیبپذیریها ممکن است منجر به اجرای کد دلخواه در کرنل با امتیازات سیستم شود.
بااینحال، سایر آسیبپذیریها ممکن است منجر به افشای حافظهی محدودشده، تشخیص چیدمان حافظهی کرنل، خرابی پشته، افزایش امتیاز، دسترسی غیرمجاز به تماسها از صفحهی قفلشده، یا ارسال گذرواژههای رمزگشاییشده از طریق شبکه شود. اپل تشریح کرد که iOS 13.3.1 نیز تنظیماتی برای کنترل استفاده از خدمات مکانیابی توسط تراشهی U1 Ultra Wideband اضافه کرده است. این تنظیمات به کاربران اجازه میدهد تا بهطور کامل ویژگی بررسی مکان را در دستگاههای خود خاموش کنند، که قبلاً بهخاطر فناوری فرا پهنباند امکانپذیر نبود.
اپل همچنین iOS 12.4.5 را برای iPhone 5s، iPhone 6، iPhone 6 Plus، iPad Air، iPad mini 2، iPad mini 3 و iPod touch نسل ششم منتشر کرد، اما بیان میکند که هیچ آسیبپذیری در این بهروزرسانی وجود ندارد.
۳۲ آسیبپذیری وجود داشت که با انتشار macOS Catalina 10.15.3 و بهروزرسانیهای امنیتی برای macOS Mojave و High Sierra رفع شد و وصلهها در macOS High Sierra 10.13.6، macOS Mojave 10.14.6 و macOS Catalina 10.15.2 اعمال شدند.
مؤلفههایی که تحت تأثیر قرار گرفتند شامل AnnotationKit، Audio، autofs CoreBluetooth، Crash Reporter، Image Processing، ImageIO، Intel Graphics Driver، IOAcceleratorFamily، IPSec، Kernel، libxml2، libxpc، PackageKit، Security، sudo، System، WiFi و wifivelocityd هستند.
اپل بیان میکند که این اشکالها ممکن است برای اجرای کد دلخواه در یک سیستم آسیبدیده، تشخیص چینش حافظهی کرنل، خواندن حافظهی محدودشده، خرابی پشته، بازنویسی فایلها یا دور زدن Gatekeeper مورد بهرهبرداری قرار گیرد.
watchOS ۶٫۱٫۲ با وصلههایی برای ۱۵ آسیبپذیری موجود در AnnotationKit، Audio، ImageIO، IOAcceleratorFamily، Kernel، libxpc و wifivelocityd منتشر شد. این آسیبپذیریها ممکن است منجر به اجرای کد، افزایش امتیاز، خرابی پشته شود و یا ممکن است به یک برنامه اجازه دهد که حافظهی محدودشده را بخواند.
tvOS 13.3.1 که بهتازگی منتشر شد، شامل وصلههایی برای ۱۴ آسیبپذیری موجود در Audio، ImageIO، IOAcceleratorFamily، IPSec، Kernel، libxpc، WebKit و wifivelocityd است که ممکن است منجر به اجرای کد دلخواه، افزایش امتیاز، یا خرابی پشته شود یا ممکن است به برنامهها اجازه دهد تا حافظهی محدودشده را بخوانند یا چینش حافظهی کرنل را تشخیص دهند. Safari 13.0.5 با وصلههایی برای دو آسیبپذیری امنیتی منتشر شد که ممکن است منجر به جعل آدرس هنگام بازدید از یک وبگاه مخرب شود یا در یک کاربر محلی منجر به ارسال یک گذرواژهی رمزگشاییشده در شبکه شود. اپل همچنین iTunes 12.10.4 را برای ویندوز منتشر کرد که یک مسأله را که ممکن است موجب دستیابی به دسترسی بخشهای محافظتشدهی سیستم فایل شود، رفع میکند.
