اپل هفته‌ی گذشته مجموعه‌ی جدیدی از وصله‌های امنیتی منتشر کرد تا ده تا آسیب‌پذیری که سامانه‌های عامل macOS، iOS، watchOS، و tvOS، و همچنین نرم‌افزار ویندوز را تحت تاثیر قرار می‌دهند را وصله کند.

با انتشار iOS ۱۱.۳ در روز پنج‌شنبه بیش از ۴۰ اشکال امنیتی وصله شدند. این آسیب‌پذیری‌ها آیفون ۵s و دستگاه‌های قدیمی‌تر، آی‌پد اِیر و دستگاه‌های قدیمی‌تر، و نسل ۶ آی‌پد لمسی را تحت تاثیر قرار می‌دهند.

با انتشار این به‌روزرسانی‌ها ۱۹ آسیب‌پذیری در WebKit وصله شدند، و آسیب‌پذیری‌هایی نیز در مولفه‌هایی مانند CoreFoundation، CoreText، File System Events، iCloud Drive، Kernel، Mail، PluginKit، Safari، Security، و Storage وصله شده‌اند.

بهره‌برداری از این آسیب‌پذیری‌ها می‌تواند موجب شود که یک مهاجم بتواند کد دلخواه خود را در یک دستگاه آسیب‌پذیر اجرا کند، در برنامه‌های مخرب امتیازات خود را ارتقاء دهد، کلاه‌برداری‌های مربوط به رابط کاربری انجام دهد، از محتواهای رایانامه‌ی رمزنگاری‌شده جلوگیری کند، کلیدهای فشرده شده را ثبت کند، قابلیت‌های دستگاه را غیرفعال کند، و یا دستگاه را مجددا راه‌اندازی کند.

آسیب‌پذیری‌های مربوط به خرابی حافظه که در WebKit کشف شده‌اند، می‌توانند در هنگام پردازش محتواهای وب جعلیِ مخرب به اجرای کد دلخواه منجر شوند. این اشکالات که در مجموع ۱۶ مورد بودند با مدیریت حافظه‌ی بهبودیافته وصله شدند.

اپل با انتشار نسخه‌ی ۱۰.۱۳.۴ های‌سیرای مک، به‌روزرسانی امنیتی ۰۰۲-۲۰۱۸ El Capitan، به‌روزرسانی امنیتی ۰۰۲-۲۰۱۸ سیرا ۳۵ آسیب‌پذیری را وصله کرد. این آسیب‌پذیری‌ها OS X El Capitan ۱۰.۱۱.۶، macOS Sierra ۱۰.۱۲.۶، و macOS High Sierra ۱۰.۱۳.۳ را تحت تاثیر قرار می‌دهند.

مولفه‌های تحت تاثیر شامل چارچوب مدیر (Admin Framework)، APFS، CoreFoundation، CoreText، CoreTypes، تصاویر دیسک (Disk Images)، مدیریت دیسک (Disk Management)، رویدادهای پرونده‌ی سامانه (File System Events)، درایو آی‌کلود (iCloud Drive)، درایور گرافیک اینتل (Intel Graphics Driver)، کرنل (Kernel)، LaunchServices، Mail، Notes، PluginKit، Security، System Preferences، و پایانه (Terminal) هستند.

بهره‌برداری از این آسیب‌پذیری‌ها می‌تواند موجب افشاء گذرواژه‌ها، افشاء اطلاعات کاربران، ارتقاء امتیاز، منع سرویس، اجرای کد دلخواه، خواندن حافظه‌ی محدودشده، دور زدن اجرای امضای کد، جلوگیری از محتوای رایانامه‌های رمزنگاری‌شده و خارج کردن آن‌ها از شبکه، کلاه‌برداری‌های مربوط به اجرای دستورات دلخواه، و ثبت کلید‌های فشرده‌شده شود.

به‌روزرسانی‌های منتشرشده برای محصولات OS X El Capitan ۱۰.۱۱.۶، نسخه‌ی ۱۰.۱۲.۶ مک سیرا، و نسخه‌ی ۱۰.۱۳.۴ های‌سیرای مک، نسخه‌ی ۱۱.۱ سافاری، ۲۳ آسیب پذیری که می‌توانند موجب جاسوسی از نوار آدرس، سرقت داده‌‌هایی که ذخیره‌شده در مرورگر بدون نیاز به تعامل صریح با کاربر، اجرای کد دلخواه، اسکریپت بین-وب‌گاهی، خطای ASSERT، منع سرویس، و حمله‌ی دور زدن cross-origin شوند را وصله می‌کنند.

از این ۲۳ آسیب‌پذیری، دو مورد مرورگر سافاری، یک مورد Safari Login AutoFill و ۲۰ آسیب‌پذیری باقی‌مانده WebKit را تحت تاثیر قرار می‌دهند.

با انتشار tvOS نسخه‌ی ۱۱.۳، در مجموع ۲۸ آسیب‌پذیری که بر روی Apple TV ۴K و Apple TV (نسل چهارم) تاثیر می‌گذارند، وصله شدند. مولفه‌های تحت تاثیر شامل وب‌کیت، کرنل (Kernel)، CoreFoundation، CoreText، رویدادهای پرونده‌ی سامانه (File System Events)، NSURLSession، Quick Look، Security، و تنظیمات سامانه (System Preferences) می‌باشد.

watchOS نسخه‌ی ۴.۳، ۲۳ آسیب‌پذیری را در CoreFoundation، CoreText، رویداد‌های سامانه‌ی پرونده‌ (File System Events)، کرنل (Kernel)، NSURLSession، Quick Look، Security، تنظیمات سامانه (System Preferences)، و وب‌کیت وصله می‌کند. تمام مدل‌های ساعت اپل (Apple Watch) تحت تاثیر این آسیب‌پذیری‌های قرار گرفتند.

این غول فناوری همچنین چندین آسیب‌پذیری را با انتشار Xcode نسخه‌ی ۹.۳ در LLVM وصله کرد. این اشکالات نسخه‌ی ۱۰.۱۳.۲ های‌سیرای مک و نسخه‌های قدیمی‌تر این محصول را تحت تاثیر قرار می‌دهند.

آی‌کلود برای ویندوز ۷.۴، ۲۰ آسیب‌پذیری را وصله کرد، که ۱۹ مورد از آن‌ها WebKit را تحت تاثیر قرار می‌دهند، iTunes نسخه‌ی ۱۲.۷.۴ نیز همین ۱۹ آسیب‌پذیری را در ویندوز وصله می‌کند. این اشکالات می‌توانند موجب اجرای کد دلخواه، ارتقاء امتیاز، خطای ASSERT، منع سرویس، و یا حمله‌ی cross-origin در وب‌گاه‌ها شوند.

برچسب ها: , ,

نظر شما!!