به‌روزرسانی امنیتی محصولات اپل

اپل به تازگی برای محصولات خود به‌روزرسانی‌های امنیتی منتشر کرده است. این به‌روزرسانی‌ها مربوط به محصولات iOS، watchOS، tvOS، Safari و Apple support هستند.

 به‌روزرسانی امنیتی محصولات اپل

اپل به تازگی برای محصولات خود به‌روزرسانی‌های امنیتی منتشر کرده است. این به‌روزرسانی‌ها مربوط به محصولات iOS، watchOS، tvOS، Safari و Apple support هستند. این آسیب‌پذیری‌ها درجات مختلفی از اهمیت را دارا هستند. برخی از آن‌ها امکان ایجاد اپلیکیشن‌های بدخواه را فراهم می‌کنند، در حالی که بهره‌برداری از برخی دیگر نیازمند دسترسی فیزیکی به دستگاه است و در نتیجه شانس بهره‌برداری از آنها کمتر است. برخی نیز امکان لو رفتن داده‌های کمتر حساسی مثل تاریخچه سایت‌های مورد بازدید را فراهم می‌کنند. توصیه می‌شود برای مصونیت از این آسیب‌پذیری‌ها به‌روزرسانی‌های ارائه شده را اعمال کنید.

 

آسیب‌پذیری‌های iOS

در این بخش، ما آسیب‌پذیری‌های iOS را بیان می‌کنیم. اما همان طور که گفته شد، محصولات دیگری از اپل نیز آسیب‌پذیر هستند که می‌توانید با مراجعه به منابع از آنها مطلع شوید.

 

مولفه آسیب‌پذیر شناسه آسیب‌پذیری
Accounts CVE-2018-4322 اپ‌های محلی می‌توانند مقدار شناسه دائمی اکانت (persistent account identifier) را بخوانند.
Bluetooth CVE-2018-5383 مهاجمانی که در نقطه‌ای با دسترسی بالا (privileged network position) در شبکه قرار دارند (یعنی مهاجم و قربانی با هم در یک شبکه بلوتوث قرار دارند) می‌توانند ترافیک بلوتوث را شنود کنند.
Core Bluetooth CVE-2018-4330 یک اپلیکیشن می‌تواند کد دلخواهش را با دسترسی سیستم اجرا کند
CoreMedia CVE-2018-4356 اپلیکیشن‌ها می‌توانند قبل از دریافت اجازه دسترسی به دوربین، درباره فضای دیدرس دوربین اطلاعاتی کسب کنند.
IOMobileFrameBuffer CVE-2018-4335 کاربر می‌تواند حافظه محدود شده را بخواند.
iTunes Store CVE-2018-4305 کاربری که در نقطه دارای دسترسی بالا در شبکه قرار دارد می‌تواند درخواست گذرواژه iTunes Store را جعل کند و در نتیجه گذرواژه کاربر را به دست آورد.
Kernel CVE-2018-4363 اپلیکیشن می‌تواند ناحیه محدود شده حافظه را بخواند.
Messages CVE-2018-4313 کاربر محلی می‌تواند پیام‌های پاک شده یک کاربر دیگر را بخواند.
Notes CVE-2018-4352 کاربر محلی می‌تواند یادداشت‌های پاک شده یک کاربر دیگر را بخواند.
Safari CVE-2018-4313 کاربر محلی می‌تواند وبسایت‌هایی که یک کاربر دیگر بازدید کرده است را ببیند.
Safari CVE-2018-4329 وبسایت بدخواه می‌تواند داده‌هایی که به طور خودکار پر می‌شوند را سرقت کند.
Safari CVE-2018-4307 ممکن است کاربر نتواند تاریخچه سایت‌های بازدید شده را پاک کند.
SafariViewController CVE-2018-4362 بازدید از یک وبسایت بدخواه می‌تواند باعث جعل آدرس نشان داده شده در نوار آدرس شود. در نتیجه یک وبسایت بدخواه ممک است خود را به عنوان یک سایت مجاز معرفی کند.
Security CVE-2016-1777 مهاجم می‌تواند با از ضعف‌های پروتکل رمزنگاری RC4 سوء استفاده کند.
Status Bar CVE-2018-4325 اگر کسی به دستگاه iOS دسترسی فیزیکی پیدا کند ممکن است بتواند از طریق صفحه قفل تشخیص دهد آخرین اپ مورد استفاده کاربر چه بوده است.
Wi-Fi CVE-2018-4338 اپلیکیشن می‌تواند ناحیه محدود شده حافظه را بخواند.

 

منابع:

https://www.us-cert.gov/ncas/current-activity/2018/09/17/Apple-Releases-Multiple-Security-Updates

https://support.apple.com/en-us/HT209117

https://support.apple.com/en-us/HT209109

https://support.apple.com/en-us/HT209108

https://support.apple.com/en-us/HT209107

https://support.apple.com/en-us/HT209106

کلمات کلیدی