اپل این هفته وصلههایی را برای رفع چندین آسیبپذیری امنیتی در macOS، iOS و مرورگر سافاری منتشر کرد. در بهروزرسانی امنیتی منتشر شده برای ۱۰٫۱۳٫۴ macOS High Sierra، دو آسیبپذیری که بهترتیب Crash Reporter و LinkPresentation را تحت تاثیر قرار میدهند، وصله میشود. اولین آسیبپذیری که با شناسهی CVE-2018-4206 ردیابی میشود، یک نقص خرابی حافظه است که بهدست آوردن امتیازات بالاتر برای یک برنامه را ممکن میسازد. اپل این اشکال را با به حداقل رساندن احتمال وقوع خطا رفع کرد.
این شرکت همچنین یک آسیبپذیری جعل در مدیریت URLها با شناسهی CVE-2018-4187 را وصله کرد. این حفرهی امنیتی که هنگام پردازش یک پیام متنی مخرب میتوانست منجر به جعل UI شود، با بهبود اعتبارسنجی ورودیها وصله شد. این آسیبپذیری زمانی رخ داد که اپل قابلیت خواندن کد QR را به برنامهی دوربین اضافه کرد و پس از آن، برنامه دیگر قادر به شناسایی درست نام میزبان در یک URL نبود. بنابراین، مهاجم میتوانست یک کد QR ایجاد کند که هنگام خوانده شدن توسط برنامهی دوربین، یک نام میزبان متفاوت در مقایسه با آنچه که مرورگر سافاری نشان میدهد، به کاربر نشان داده شود.
این دو آسیبپذیری که در نسخهی ۱۱٫۳٫۱ از iOS وصله شده بودند، در آیفون ۵s و مدلهای پس از آن، آیپدایر و نسل ۶ام آیپادتاچ نیز وصله شدند. در iOS دو آسیبپذیری در WebKit نیز وصله شده است. هر دوی این آسیبپذیریها خرابی حافظه بودند که زمان پردازش محتوای وب جعلی، مهاجم میتوانست به اجرای کدهای دلخواه بپردازد. اپل برای وصلهی این آسیبپذیریها، مدیریت وضعیت و حافظه را بهبود داده است. این دو آسیبپذیری دارای شناسههای CVE-2018-4200 و CVE-2018-4204 هستند.
در جدیدترین بهروزرسانی منتشر شده برای نسخهی ۱۱٫۱ از سافاری که درحال حاضر برای OS X El Capitan 10.11.6 ،macOS Sierra 10.12.6 و macOS High Sierra 10.13.4 در دسترس است، دو آسیبپذیری موجود در WebKit نیز وصله شدند.
