imessage apple
آسیب پذیری

کشف چهار آسیب‌پذیری امنیتی در iMessage

محققان امنیت سایبری شرکت گوگل، جزئیات و اثبات مفهومی سوءاستفاده چهار آسیب‌پذیری از ۵ آسیب‌پذیری امنیتی را فاش کردند. این آسیب‌پذیری‌ها به مهاجمین امکان می‌دهد تا دستگاه‌های iOS Apple را فقط با ارسال یک پیام مخرب از طریق iMessage هدف قرار دهند.

دو تن از کارشناسان امنیتی گروه Google Project Zero، این آسیب‌پذیری‌ها را که نیاز به تعامل با کاربر ندارند‌، به شرکت Apple گزارش کرده‌اند که این شرکت طی هفته گذشته با انتشار آخرین به‌روزرسانی iOS 12.4 آن‌ها را وصله کرده است.

چهار مورد از این آسیب‌پذیری‌ها  موارد «بدون تعامل» آزادسازی پس از استفاده (use-after-free) و خرابی حافظه هستند که به مهاجمین از راه دور اجازه ‌می‌دهد کد دلخواه خود را روی دستگاه‌های iOS اجرا کنند.

بااین‌حال، محققان سه مورد از این چهار آسیب‌پذیری مهم RCE را منتشر کرده‌ و یکی (به شناسه CVE-2019-8641) را محرمانه نگه‌داشته‌اند. زیرا آخرین نسخه‌ی به‌روزرسانی به‌طور کامل این موضوع را تحت پوشش قرار نداده است.

همچنین آسیب‌پذیری پنجم (CVE-2019-8646)، می‌تواند با ارسال یک پیام مخرب از طریق iMessage از راه دور اجرا شود. این آسیب‌پذیری به مهاجم اجازه می‌دهد تا محتوای فایل‌های ذخیره‌شده در دستگاه iOS قربانی را از طریق حافظه‌ی نشت‌شده بخواند.

از سوی دیگر آسیب‌پذیری CVE-2019-8624 مربوط به اجزای دیجیتالی لمسی WatchOS، اپل واچ سری ۱ و نسخه‌های بعدی آن را تحت تأثیر قرار می‌دهد. در ماه جاری این آسیب‌پذیری توسط شرکت اپل با انتشار watchOS 5.3 وصله شده است.

علاوه بر آسیب‌پذیری‌های امنیتی، به‌روزرسانی‌ iOS 12.4 برای آیفون، آی پد و آی پاد لمسی ویژگی‌های جدیدی ازجمله قابلیت انتقال بی‌سیم داده‌ها و مهاجرت مستقیم از آیفون قدیمی به آیفون جدید را نیز در هنگام راه‌اندازی ارائه کرده است. پیشنهاد ما به شما نصب آخرین نسخه این سیستم‌عامل با شماره نسخه ۱۲.۴ است تا از آسیب‌پذیری‌های ذکرشده در امان بمانید.

مطالب مرتبط:
اپل: چندین به‌روزرسانی امنیتی جدید!
به‌روزرسانی امنیتی محصولات اپل
انتشار بدافزار Rietspoof از طریق برنامه‌های پیام‌رسان

کشف چهار آسیب‌پذیری امنیتی در iMessage

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top