اپل، هشت آسیبپذیری را در بهروزرسانی iOS به نسخه ۱۱ وصله کرد.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
اپل، هشت آسیبپذیری را در بهروزرسانی iOS به نسخه ۱۱ وصله کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نسخه یازدهم سیستمعامل iOS به تازگی منتشر شد که در آن آسیبپذیریهای موجود در سیستمعاملهای تلفن همراه اپل وصله شدهاست. اپل در مجموع هشت آسیبپذیری را در سیستمعامل iOS و ۱۵ آسیبپذیری را در مرورگر سافاری و چارچوب توسعه Xcode وصله کردهاست.
دو آسیبپذیری در Webkit وجود داشت که به آنها شناسههای CVE-۲۰۱۷-۷۱۰۶ و CVE-۲۰۱۷-۷۰۸۹ اختصاص داده شدهاست. این دو آسیبپذیری بر روی iOS و سافاری وصله شدهاست. آسیبپذیری CVE-۲۰۱۷-۷۰۸۹ یک اشکال اسکریپت بینوبسایتی همگانی است. اپل میگوید یک اشکال منطقی را در مدیریت زبانههای والد در iOS وصله کردهاست.
آسیبپذیری CVE-۲۰۱۷-۷۱۰۶ میتواند توسط مهاجمان مورد بهرهبرداری قرار گرفته و به آنها اجازه دهد تا به جعل نوار آدرس بپردازند. اپل میگوید برای بهرهبرداری از این آسیبپذیری، ضروری است تا کاربر به بازدید از وبسایتی متقاعد شود که بر روی آن بهرهبرداری میزبانی میشود. اپل همچنین آسیبپذیری مشابهی را در مرورگر سافاری، iOS و macOS وصله کردکه دارای شناسه CVE-۲۰۱۷-۷۰۸۵ است. این آسیبپذیری نیز به مهاجم اجازه میدهد تا به جعل نوار آدرس بپردازد. اشکال جعل نوار آدرس به مهاجم اجازه میدهد تا مرورگر را دستکاری کرده و وبسایتی را به قربانی نمایش دهد که توسط مهاجم انتخاب شدهاست.
شرکت اپل در سیستمعامل iOS یک آسیبپذیری پیادهسازی در Exchange ActivSync را نیز وصله کردهاست. بهرهبرداری از این آسیبپذیری به مهاجم در طول شبکه و در مرحلهExchange اجازه میدهد تا آیفون و آیپد را پاک کند. اپل میگوید این آسیبپذیری با شناسه CVE-۲۰۱۷-۷۰۸۸ با درخواست TLS در طول این فرآيند وصله و برطرف کردهاست. آسیبپذیری MobileBackup نیز در سیستمعامل iOS وصله شدهاست. این مسئله یک اشکال مجوز است که به این ویژگی اجازه میدهد بهحالت رمزنگارینشده پرونده پشتیبان تهیه کند درحالیکه یکی از نیازمندیهای آن، استفاده از رمزنگاری در فرآيند ایجاد پشتیبان است. اپل یک آسیبپذیری منع سرویس را نیز در پیامرسان Messages، Mail MessageUI و iBooks وصله کردهاست.
در Messages یک پیام جعلی میتواند باعث فروپاشی آیپد و آیفون شود. اپل این آسیبپذیری با شناسه CVE-۲۰۱۷-۷۱۱۸ را با اعتبارسنجی بهبودیافته برطرف کردهاست. در Mail MessageUI اپل یک آسیبپذیری خرابی حافظه را وصله کردهاست. به دلیل وجود این آسیبپذیری اگر یک پرونده تصویری مخرب پردازش شود، دستگاه دچار فروپاشی خواهدشد. بهروزرسانی که بر روی Xcode انجام شده، تنها یک آسیبپذیری را در گیت و سابورژن وصله کردهاست. پنج آسیبپذیری نیز در Id۶۴ وصله شده که تمامی آنها منجر به اجرای کد دلخواه توسط مهاجم میشوند. آسیبپذیری که در گیت و سابورژن وجود دارد macOS سیریا با نسخه ۱۰.۱۲.۶ و حتی نسخههای بعدی را نیز تحتتاثیر قرار میدهد و توسط یک مخزن مخرب میتواند مورد بهرهبرداری قرار بگیرد.
اشکالات موجود در Id۶۴ همچنین macOS سیریا ۱۰.۱۲.۶ را تحت تاثیر قرار میدهد. اپل اعلام کرد که هر پنج مورد از این اشکالات، آسیبپذیری خرابی حافظه هستند که به مهاجم اجازه میدهند با پردازش پروندههای Mach-O به اجرای کد بپردازند. در macOS از این فرمت برای پروندههای اجرایی، کتابخانهها و اشیاء محلی استفادهمیشود.