اپل در روز دوشنبه ۲۵ مارس ۲۰۱۹ آخرین نسخه ازiOS یعنی نسخه ۱۲٫۲ را منتشر کرد تا ۵۱ آسیبپذیری امنیتی را در سیستمعامل تلفن همراهش که روی آیفون ۵s و آیفونهای بعدازآن، iPad Air و آیپدهای بعدازآن و نسل ۶ از iPod Touch تأثیرگذار هستند را برطرف نماید.
اکثر آسیبپذیریهایی که اپل در این ماه وصله کرده است در موتور رندر وب این شرکت یعنی WebKit قرار داشتند که توسط بسیاری از برنامهها و مرورگرهای وب که در سیستمعامل اپل اجرا میشوند، مورداستفاده قرار میگیرند.
با توجه گزارش منتشرشده در این مورد[۱]، فقط باز کردن یک محتوای وب دستکاریشدهی موذی با استفاده از هرگونه آسیبپذیری مبتنی بر WebKit میتواند به حملهکنندگان اجازه دهد تا کد دلخواه خود را اجرا کنند، اطلاعات حساس کاربر را استخراج کنند، محدودیتهای sandbox را دور بزنند یا حملاتuniversal cross-site scripting را روی دستگاه راهاندازی کنند.
در میان آسیبپذیریهای WebKit یک مسئلهی سازگاری (CVE-2019-6222) است که اجازه میدهد تا وبسایتهای موذی بهطور بالقوه به میکروفون دستگاه iOS دسترسی پیدا کنند بدون اینکه نشانگر «میکروفون در حال استفاده» نمایش داده شود.
یک آسیبپذیری مشابه (CVE-2019-8566) نیز در API ReplayKit اپل وصله شده است که میتواند به یک برنامه موذی اجازه دهد تا به میکروفون دستگاه iOS و بدون هشدار دادن به کاربر دسترسی داشته باشد.
اپل در گزارش خود در مورد اشکال ReplayKit میگوید: “یک مسئله API در اداره دادههای میکروفون وجود داشت. این مسئله با بهبود اعتبار سنجی وصله شده است.”
اپل همچنین یک اشکال منطقی جدی (CVE-2019-8503) را در WebKit وصله کرد که میتوانست به وبسایتهای موذی اجازه دهد تا اسکریپتها را در زمینه یک سایت دیگر اجرا کنند، بهاینترتیب آنها را قادر به سرقت اطلاعات ذخیرهشدهی شما در سایتهای دیگر و یا راهاندازی گستردهای از حملات آنلاین میکرد.
علاوه بر مسائل WebKit، این گزارش همچنین آشکار کرد که یک نقص مهم در نسخههای iOS قبلی وجود دارد که میتواند تنها با متقاعد کردن قربانیان به کلیک کردن روی یک لینک SMS موذی به اجرای کد دلخواه منجر شود.
این آسیبپذیری SMS، که بهعنوان CVE-2019-8553 شناخته میشود، به نظر میرسد روی iPhone 5s و نسخههای بعدازآن، iPad Air و نسخههای بعدازآن، و دستگاههای نسل ۶ از iPod touch تأثیر میگذارد.
اپل همچنین مجموعاً شش آسیبپذیری را در هسته iOS وصله کرده است که از میان آنها آسیبپذیری CVE-2019-8527 میتواند به یک مهاجم از راه دور اجازه دهد که سیستم را دچار crash کند یا حافظه kernel را تخریب کند. همچنین آسیبپذیری CVE-2019-8514 میتواند برای افزایش سطح دسترسی استفاده شود، و به بقیه برنامههای موذی اجازه دهد تا layout حافظه را بخوانند.
جزئیات فنی و کد اثبات ادعا برای نقصهای تازه وصله شده هنوز در دسترس نیست.
برای بهروزرسانی iPhone یا iPad خود، به بخش تنظیمات رفته و در بخش عمومی به قسمت بهروزرسانی نرمافزار رفته و روی دکمه دانلود و نصب کلیک کنید.
منابع :
[۱] https://support.apple.com/en-in/HT209599 [۲] https://thehackernews.com/2019/03/ios-update-iphone-security.html