در بهروزرسانیهای امنیتی جدید منتشرشده توسط شرکت اپل برای نسخهی ۱۳ سیستم عامل iOS و نسخهی ۱۰٫۱۵ سیستم عامل macOS Catalina تقریباً ۴۰ آسیبپذیری، که هر دوی این سیستم عاملها را تحت تأثیر قرار میدهند، وصله شدند.
طبق گزارشها، با انتشار اولین بهروزرسانی امنیتی برای آخرین نسخهی سیستم عاملmacOS Catalina ، یعنی نسخهی ۱۰٫۱۵٫۱، ۳۳ آسیبپذیری، از جمله نقصهایی که ممکن است از طریق برنامههای مخرب مورد بهرهبرداری قرار گرفته یا با ایجاد یک فایل جعلی، کاربران را مورد هدف قرار دهند، وصله شده است. مهاجمان میتوانند این حفرههای امنیتی را بهمنظور بهدست آوردن اطلاعات، دور زدن احراز هویت، اجرای كد دلخواه با امتیازات بالا، دسترسی به دادهها، ارتقاء امتیازات یا راهاندازی حملات منع سرویس (DoS) مورد بهرهبرداری قرار دهند.
انتشار نسخهی ۱۳٫۲ سیستم عاملهای iOS وiPadOS نیز با وصلهشدن ۲۸ آسیبپذیری همراه بوده است که از جملهی آنها، میتوان به اجرای کد دلخواه با امتیازات بالا، دسترسی به دادهها، نشت حافظه، دورزدن احراز هویت، مجبورکردن کاربر برای اتصال به Wi-Fi مخرب، ضبط مخفیانهی صفحهی نمایش دستگاه، راهاندازی حملات تزریق اسکریپت (XSS)، جعل رابط کاربری و بهدست آوردن اطلاعات کاربر اشاره کرد.
شایان ذکر است که تقریباً دهها آسیبپذیری هر دوی سیستم عاملهای iOS و macOS را تحت تأثیر قرار میدهند، که از جملهی آنها میتوان آسیبهای موجود در مؤلفههایی همچون Accounts، App Store، Associated Domains، Audio، Books، Contacts، File System Events، Graphics Driver و kernel را نام برد. علاوهبراین، شرکت اپل آسیبپذیریهایی را نیز در سیستم عاملهای watchOS ، Safari و tvOS وصله کرده است. سیستم عاملهای watchOS و tvOS مبتنیبر سیستم عامل iOS هستند و Safari، موتور مرورگر WebKit را با سیستم عامل iOS به اشتراک میگذارد، این بدان معناست که آسیبپذیریهای وصلهشده در این سیستم عاملها، عمدتاً مشابه آسیبپذیریهایی هستند که در سیستم عامل iOS وصله شدهاند.
درحالیکه بسیاری از این آسیبپذیریها احتمالاً هرگز برای اهداف مخرب مورد بهرهبرداری قرار نخواهند گرفت، بسیاری از نقصهای امنیتی موجود در نرمافزار اپل در حملات بهکار رفتهاند. گوگل اخیراً کشف کرده است که برخی از آسیبپذیریهای موجود در سیستم عامل iOS برای هککردن از راه دور تلفنهای همراه آیفون مورد بهرهبرداری قرار گرفته و یک نقص موجود در نرمافزار iTunes نیز که اخیراً وصله شده بود، توسط اپراتورهای باجافزار BitPaymer برای اجرای کد و جلوگیری از شناسایی استفاده شده است.
