اپل، هشت آسیب‌پذیری را در به‌روزرسانی iOS به نسخه‌ ۱۱ وصله کرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نسخه‌ یازدهم سیستم‌عامل iOS به تازگی منتشر شد که در آن آسیب‌پذیری‌های موجود در سیستم‌عامل‌های تلفن همراه اپل وصله شده‌است. اپل در مجموع هشت آسیب‌پذیری را در سیستم‌عامل iOS و ۱۵ آسیب‌پذیری را در مرورگر سافاری و چارچوب توسعه‌ Xcode وصله کرده‌است.

دو آسیب‌پذیری در Webkit وجود داشت که به آنها شناسه‌های CVE-۲۰۱۷-۷۱۰۶ و CVE-۲۰۱۷-۷۰۸۹ اختصاص داده شدهاست. این دو آسیب‌پذیری بر روی iOS و سافاری وصله شده‌است. آسیب‌پذیری CVE-۲۰۱۷-۷۰۸۹ یک اشکال اسکریپت بین‌وب‌سایتی همگانی است. اپل می‌گوید یک اشکال منطقی را در مدیریت زبانه‌های والد در iOS وصله کرده‌است.

آسیب‌پذیری CVE-۲۰۱۷-۷۱۰۶ می‌تواند توسط مهاجمان مورد بهره‌برداری قرار گرفته و به آنها اجازه دهد تا به جعل نوار آدرس بپردازند. اپل می‌گوید برای بهره‌برداری از این آسیب‌پذیری، ضروری است تا کاربر به بازدید از وب‌سایتی متقاعد شود که بر روی آن بهره‌برداری میزبانی می‌شود. اپل همچنین آسیب‌پذیری مشابهی را در مرورگر سافاری، iOS و macOS وصله کردکه دارای شناسه‌ CVE-۲۰۱۷-۷۰۸۵ است. این آسیب‌پذیری نیز به مهاجم اجازه می‌دهد تا به جعل نوار آدرس بپردازد. اشکال جعل نوار آدرس به مهاجم اجازه می‌دهد تا مرورگر را دستکاری کرده و وب‌سایتی را به قربانی نمایش دهد که توسط مهاجم انتخاب شده‌است.

شرکت اپل در سیستم‌عامل iOS یک آسیب‌پذیری پیاده‌سازی در Exchange ActivSync را نیز وصله کرده‌است. بهره‌برداری از این آسیب‌پذیری به مهاجم در طول شبکه و در مرحله‌Exchange اجازه می‌دهد تا آیفون و آی‌پد را پاک کند. اپل می‌گوید این آسیب‌پذیری با شناسه‌ CVE-۲۰۱۷-۷۰۸۸ با درخواست TLS در طول این فرآيند وصله و برطرف کرده‌است. آسیب‌پذیری MobileBackup نیز در سیستم‌عامل iOS وصله شده‌است. این مسئله یک اشکال مجوز است که به این ویژگی اجازه می‌دهد به‌حالت رمزنگاری‌نشده پرونده‌ پشتیبان تهیه کند در‌حالی‌که یکی از نیازمندی‌های آن، استفاده از رمزنگاری در فرآيند ایجاد پشتیبان است. اپل یک آسیب‌پذیری منع سرویس را نیز در پیام‌رسان Messages، Mail MessageUI و iBooks وصله کرده‌است.

در Messages یک پیام جعلی می‌تواند باعث فروپاشی آی‌پد و آیفون شود. اپل این آسیب‌پذیری با شناسه‌ CVE-۲۰۱۷-۷۱۱۸ را با اعتبارسنجی بهبودیافته برطرف کرده‌است. در Mail MessageUI اپل یک آسیب‌پذیری خرابی حافظه را وصله کرده‌است. به دلیل وجود این آسیب‌پذیری اگر یک پرونده‌ تصویری مخرب پردازش شود، دستگاه دچار فروپاشی خواهد‌شد. به‌روزرسانی که بر روی Xcode انجام شده، تنها یک آسیب‌پذیری را در گیت و ساب‌ورژن وصله کرده‌است. پنج آسیب‌پذیری نیز در Id۶۴ وصله شده که تمامی آنها منجر به اجرای کد دلخواه توسط مهاجم می‌شوند. آسیب‌پذیری که در گیت و ساب‌ورژن وجود دارد macOS سیریا با نسخه‌ ۱۰.۱۲.۶ و حتی نسخه‌های بعدی را نیز تحت‌تاثیر قرار می‌دهد و توسط یک مخزن مخرب می‌تواند مورد بهره‌برداری قرار بگیرد.

اشکالات موجود در Id۶۴ همچنین macOS سیریا ۱۰.۱۲.۶ را تحت تاثیر قرار می‌دهد. اپل اعلام کرد که هر پنج مورد از این اشکالات، آسیب‌پذیری خرابی حافظه هستند که به مهاجم اجازه می‌دهند با پردازش پرونده‌های Mach-O به اجرای کد بپردازند. در macOS از این فرمت برای پرونده‌های اجرایی، کتابخانه‌ها و اشیاء محلی استفاده‌می‌شود.