بهروزرسانیهای امنیتی macOS
روز گذشته اپل برای سیستم عامل macOS نسخه 10.14 (Mojave) بهروزرسانیهای امنیتی منتشر کرد. شرح آسیبپذیریهای برطرف شده را در ادامه میخوانید.
|
روز گذشته اپل برای سیستم عامل macOS نسخه 10.14 (Mojave) بهروزرسانیهای امنیتی منتشر کرد. شرح آسیبپذیریهای برطرف شده را در ادامه میخوانید.
|
|
Bluetooth – CVE-2018-5383 |
|
مهاجمی که در نقطهای با دسترسی بالا از شبکه قرار دارد (با قربانی در یک شبکه قرار دارد) میتواند ترافیک بلوتوث را شنود کند. ریشه این مشکل در صحتسنجی (validation) ورودی بوده است.
|
|
App Store – CVE-2018-4324 |
|
اپلیکیشنهای بدخواه میتوانند شناسه اپل (Apple ID) صاحب کامپیوتر را تشخیص دهند. این مشکل به خاطر نقصی در مدیریت شناسه اپل وجود داشت که با بهبود کنترل دسترسی برطرف شد.
|
|
Application Firewall – CVE-2018-4353 |
|
پردازه داخل جعبه شن (sandbox) میتواند محدودیتهای جعبه شن را دور بزند. دلیل آن یک مشکل پیکربندی بود که با افزودن محدودیتهای بیشتر رفع شد.
|
|
Auto Unlock – CVE-2018-4321 |
|
یک اپلیکیشن بدخواه میتواند به شناسه اپل کاربران محلی دست یابد. یک مشکل صحتسنجی در اعطای دسترسی (entitlement verification) وجود داشت که با بهبود صحتسنجی اعطای دسترسی به پردازهها (process entitlement) برطرف شد. Entitlement در اپل به معنی دسترسیهایی است که به پردازهها اعطا میشود. مثلا اینکه یک اپلیکیشن اجازه ارسال push notification را داشته باشد یا خیر.
|
|
Crash Reporter – CVE-2018-4333 |
|
اپلیکیشن میتواند حافظه محدود شده را بخواند. این یک مشکل صحتسنجی بود که با بهبود پاکسازی ورودی (input sanitization) برطرف شد.
|
|
Kernel – CVE-2018-4336 / CVE-2018-4344 |
|
اپلیکیشن میتواند با دسترسی کرنل کد دلخواهش را اجرا کند. این مشکل با بهبود مدیریت حافظه رفع شد.
|
|
Security – CVE-2016-1777 |
|
مهاجم میتواند از ضعفهای الگوریتم رمزنگاری RC4 سوء استفاده کند. با حذف RC4 این مشکل برطرف گردید.
|