اپل در ۲۷ سپتامبر برای iOS 13 و iPadOS بهروزرسانی امنیتی منتشر کرد تا یک آسیبپذیری را که به افزونههای صفحه کلید شخص ثالث اجازه میدهد تا بدون اعطای مجوز به دسترسی کامل دست پیدا کنند، رفع کند.
اپل در اوایل هفتهی گذشته اعلام کرد که این اشکال تنها دستگاههایی را تحت تأثیر قرار میدهد که در آنها صفحه کلیدهای شخص ثالث مجوزهای دسترسی کامل را درخواست میکنند، اما صفحه کلیدهای اپل یا صفحه کلیدهای شخص ثالث را که از دسترسی کامل استفاده نمیکنند، تحت تأثیر قرار نمیدهد. مجوزهای دسترسی کامل به یک برنامه اجازه میدهد تا منابع را از یک سرور راه دور واکشی کند. در iOS افزونههای صفحه کلید شخص ثالث میتوانند به گونهای طراحی شوند که کاملاً مستقل اجرا شوند، به این معنا که آنها به خدمات خارجی دسترسی نخواهند داشت.
این آسیبپذیری امنیتی که با شناسهی CVE-2019-8779 ردیابی میشود، به یک برنامه صفحه کلید مخرب اجازه میدهد تا هر آنچه که کاربر تایپ میکند ضبط کند و این اطلاعات را به سرور مهاجم ارسال کند.
بااینحال، خطر بهرهبرداری از آن نسبتاً پایین خواهد بود، زیرا چنین صفحه کلیدی ابتدا باید فرآیند تأیید اپل را طی کند و سپس توسط قربانیان بارگیری و نصب شود.
در ۲۷ سپتامبر، اپل از انتشار iOS 13.1.1 و iPadOS 13.1.1 خبر داد که با اعمال محدودیتهای جعبهی شنی درست برای افزونههای برنامهی شخص ثالث این مسأله را رفع میکند.
این بهروزرسانی که تنها چند روز پس از انتشار iOS 13 منتشر شد، در iPhone 6s و نسخههای بعدی، iPad Air 2 و نسخههای بعدی، iPad mini 4 و نسخههای بعدی و iPod touch نسل هفتم عرضه شده است.
در اوایل هفتهی گذشته، اپل مسألهی دیگری را در iOS 13 رفع کرده است که دسترسی به تماسها را برای هر شخصی که دسترسی فیزیکی به دستگاه دارد، بهطور مستقیم از طریق صفحهی قفل فراهم میکرد.
در ۲۶ سپتامبر، شرکت فناوری مستقر در Cupertino بهروزرسانیهای امنیتی برای macOS، watchOS و iOS 12.4.1 را منتشر کرد. بهروزرسانی اخیر macOS Mojave 10.14.6، بهروزرسانی امنیتی High Sierra 2019-005 و بهروزرسانی Sierra Security ۲۰۱۹-۰۰۵ یک آسیبپذیری خواندن خارج از محدوده را رفع میکند که به یک مهاجم اجازه میدهد تا برنامه را بهطور غیرمنتظره خاتمه دهد یا کد دلخواه را اجرا کند.
این آسیبپذیری امنیتی که با شناسهی CVE-2019-8641 ردیابی میشود و توسط پژوهشگران پروژهی صفر گوگل کشف شده است، با اعتبارسنجی ورودی بهبودیافته رفع کرده است. همان آسیبپذیری در iOS و watchOS با انتشار iOS 12.4.2 و watchOS 5.3.2 رفع شده است.
این دو بهروزرسانی برای macOS Sierra 10.12.6، macOS High Sierra 10.13.6 و macOS Mojave 10.14.6، iPhone 5s، iPhone 6، iPhone 6 Plus، iPad Air، iPad mini 2، iPad mini 3 و iPod touch نسل ششم و Apple Watch Series 1 و Apple Watch Series 2 منتشر شده است.
