محققان امنیت سایبری شرکت گوگل، جزئیات و اثبات مفهومی سوءاستفاده چهار آسیبپذیری از ۵ آسیبپذیری امنیتی را فاش کردند. این آسیبپذیریها به مهاجمین امکان میدهد تا دستگاههای iOS Apple را فقط با ارسال یک پیام مخرب از طریق iMessage هدف قرار دهند.
دو تن از کارشناسان امنیتی گروه Google Project Zero، این آسیبپذیریها را که نیاز به تعامل با کاربر ندارند، به شرکت Apple گزارش کردهاند که این شرکت طی هفته گذشته با انتشار آخرین بهروزرسانی iOS 12.4 آنها را وصله کرده است.
چهار مورد از این آسیبپذیریها موارد «بدون تعامل» آزادسازی پس از استفاده (use-after-free) و خرابی حافظه هستند که به مهاجمین از راه دور اجازه میدهد کد دلخواه خود را روی دستگاههای iOS اجرا کنند.
بااینحال، محققان سه مورد از این چهار آسیبپذیری مهم RCE را منتشر کرده و یکی (به شناسه CVE-2019-8641) را محرمانه نگهداشتهاند. زیرا آخرین نسخهی بهروزرسانی بهطور کامل این موضوع را تحت پوشش قرار نداده است.
همچنین آسیبپذیری پنجم (CVE-2019-8646)، میتواند با ارسال یک پیام مخرب از طریق iMessage از راه دور اجرا شود. این آسیبپذیری به مهاجم اجازه میدهد تا محتوای فایلهای ذخیرهشده در دستگاه iOS قربانی را از طریق حافظهی نشتشده بخواند.
از سوی دیگر آسیبپذیری CVE-2019-8624 مربوط به اجزای دیجیتالی لمسی WatchOS، اپل واچ سری ۱ و نسخههای بعدی آن را تحت تأثیر قرار میدهد. در ماه جاری این آسیبپذیری توسط شرکت اپل با انتشار watchOS 5.3 وصله شده است.
علاوه بر آسیبپذیریهای امنیتی، بهروزرسانی iOS 12.4 برای آیفون، آی پد و آی پاد لمسی ویژگیهای جدیدی ازجمله قابلیت انتقال بیسیم دادهها و مهاجرت مستقیم از آیفون قدیمی به آیفون جدید را نیز در هنگام راهاندازی ارائه کرده است. پیشنهاد ما به شما نصب آخرین نسخه این سیستمعامل با شماره نسخه ۱۲.۴ است تا از آسیبپذیریهای ذکرشده در امان بمانید.
مطالب مرتبط:
اپل: چندین بهروزرسانی امنیتی جدید!
بهروزرسانی امنیتی محصولات اپل
انتشار بدافزار Rietspoof از طریق برنامههای پیامرسان
