وصلههای امنیتی که اپل در هفتهی جاری برای iOS، macOS، سافاری، tvOS و watchOS منتشر کرد، شامل وصلههایی برای ۲۱ آسیبپذیری است که موتور مرورگر وبکیت متنباز را تحت تأثیر قرار میدهد. این اشکالها شامل ۲۰ مسألهی خرابی حافظه هستند که در طول پردازش محتوای وب مخرب منجر به اجرای کد دلخواه میشوند.
اپل بیان میکند که این آسیبپذیریها را با بهبود مدیریت حافظه رفع کرده است. علاوهبرآن، این شرکت یک آسیبپذیری خارج از محدوده را در وبکیت وصله کرد که میتواند موجب افشای حافظهی فرآیند در زمان پردازش محتوای وب مخرب شود. اپل برای رفع این مسأله اعتبارسنجی ورودی را بهبود داده است.
وصلههای منتشرشده برای این آسیبپذیریها همچنین شامل سافاری ۱۲٫۱٫۱ است. علاوهبر آسیبپذیریهای موجود در وبکیت، اپل ۲۱ آسیبپذیری دیگر در iOS را رفع کرده است. این اشکالها مؤلفههایی مانند Contacts، Disk Images، کرنل، صفحهی قفل، ایمیل، Mail Message Framework، Photo storage، SQLite، نوار وضعیت و وایفای را تحت تأثیر قرار میدهند.
بهرهبرداری از این اشکالها ممکن است منجر به اجرای کد دلخواه، افشای حافظهی محدود، نوشتن حافظهی کرنل، افزایش امتیاز، دور زدن محدودیتهای سندباکس، تغییر فایل سیستم یا ردیابی دستگاه شود. همهی این مسائل در iOS 12.3 رفع شده است و درحالحاضر در آیفون ۵s و نسخههای بعدی، iPad Air و نسخههای بعدی آن و نسل ششم iPod touch توسعه داده میشود.
در مجموع ۴۵ آسیبپذیری با انتشار macOS Mojave 10.14.5، بهروزرسانی امنیتی ۲۰۱۹-۰۰۳ High Sierra، بهروزرسانی امنیتی ۲۰۱۹-۰۰۳ Sierra برای macOS Sierra 10.12.6، macOS High Sierra ۱۰٫۱۳٫۶ و macOS Mojave 10.14.4 رفع شد. مؤلفههایی که تحت تأثیر این آسیبپذیریها قرار گرفتهاند، شامل چارچوب قابلیت دسترسی، AMD، دیوارهی آتش، CoreAudio، Disk Images، EFI، درایور گرافیکی اینتل، کرنل، امنیت، SQLite و وبکیت هستند. این آسیبپذیریها میتواند منجر به اجرای کد دلخواه، دور زدن بررسیهای Gatekeeper، بارگیری افزونههای کرنل بدون امضا، خواندن و نوشتن حافظهی کرنل و افزایش امتیاز و سایر موارد شوند.
tvOs ۱۲٫۳ دارای وصلههایی برای ۳۵ آسیبپذیری است که شامل ۲۱ آسیبپذیری وبکیت است. سایر مؤلفههای آسیبدیده شامل CoreAudio، Disk Images، کرنل، SQLite، Sysdiagnose و وایفای هستند. watchOS 5.2.1 با وصلههایی برای ۲۱ آسیبپذیری منتشر شد که شامل ۴ آسیبپذیری وبکیت است. سایر مؤلفههای آسیبدیده نیز شامل CoreAudio، Disk Images، کرنل، ایمیل، Mail Message Framework، SQLite، Sysdiagnose و وایفای هستند.
نرمافزار Apple TV 7.3 نیز با وصلههایی برای ۳ آسیبپذیری که بلوتوث و وایفای را تحت تأثیر قرار میداد، منتشر شد. یک مهاجم با بهرهبرداری از این آسیبپذیریهای میتواند موجب خاتمه یافتن غیرمنتظرهی یک برنامه و اجرای کد دلخواه شود و یا میتواند کد دلخواه را در تراشهی وایفای اجرا کند.
