اپل 2 روز 0 iOS را اعلام می کند که به هکرها اجازه می دهد دستگاه های وصله شده را به طور کامل به خطر بیندازند


پنج آیفون روی میز
بزرگنمایی / خط آیفون 2020. از چپ به راست: iPhone 12 Pro Max ، iPhone 12 Pro ، iPhone 12 ، iPhone SE و iPhone 12 mini.

یک هفته پس از آنکه اپل بزرگترین به روزرسانی خود را برای iOS و iPadOS از زمان انتشار نسخه 14.0 در سپتامبر گذشته منتشر کرد ، این شرکت به روزرسانی جدیدی را برای اصلاح دو روز صفر منتشر کرد که به هکرها اجازه می داد کد مخرب را روی دستگاه های کاملاً به روز اجرا کنند. انتشار نسخه 14.5.1 در روز دوشنبه همچنین اشکالات موجود در ویژگی شفافیت ردیابی برنامه تازه منتشر شده در نسخه قبلی را برطرف می کند.

هر دو آسیب پذیری در Webkit یافت می شود ، یک موتور مرورگر که محتوای وب را در Safari ، Mail ، App Store و سایر برنامه های انتخابی اجرا شده در iOS ، macOS و Linux نشان می دهد. CVE-2021-30663 و CVE-2021-30665 ، با پیگیری روزهای صفر ، قبلاً وصله شده اند. هفته گذشته ، اپل CVE-2021-30661 ، نقص دیگر در اجرای کد در iOS Webkit را رفع کرد ، که ممکن است به طور فعال نیز مورد استفاده قرار گرفته باشد.

اپل در یادداشت های امنیتی خود با اشاره به نواقص گفت: “پردازش محتوای وب مخرب می تواند منجر به اجرای خودسرانه کد شود.” “اپل از گزارشی مطلع است که ممکن است از این موضوع به طور فعال سو استفاده شده باشد.”

CVE-2021-30665 توسط محققان شرکت امنیتی مستقر در چین Qihoo 360 کشف شد. آسیب پذیری دیگر توسط یک منبع ناشناس کشف شد. اپل جزئیاتی در مورد اینکه چه کسی از این سوits استفاده ها استفاده می کند یا چه کسی آنها را هدف قرار می دهد ، ارائه نداد.

با کلاه سیاه ، توسط مدافعان ترسیده است

طبق داده های تیم تحقیقاتی آسیب پذیری Google Project Zero ، سه آسیب پذیری iOS که اخیراً برطرف شده اند ، تعداد صفر روز مورد استفاده فعال کاربران iOS را به 7 روز افزایش می دهد. در مجموع 21 روز صفر تاکنون در سال 2021 پیدا شده است ، کسانی که از سیستم عامل تلفن همراه اپل استفاده می کنند 33 درصد آنها را تشکیل می دهند. این باعث می شود که iOS بعد از Chrome که دارای هشت نرم افزار است ، دومین نرم افزار هدفمند در صفر روز امسال باشد.

روزهای صفر بسیار مورد پسند کلاه های سیاه قرار می گیرند و از طرف مدافعان ترس از آنها وجود دارد زیرا برای توسعه دهندگان آسیب پذیر نرم افزار و عموم مردم ناشناخته است. این بدان معناست که افرادی که آسیب پذیری های امنیتی را تشخیص می دهند می توانند از آنها برای هک دستگاه هایی کاملاً به روز استفاده کنند ، اغلب با شناسایی کم یا بدون شناسایی.

به طور جداگانه ، 14.5 اشکالی را برطرف کرد که باعث می شد برخی کاربران نتوانند پیام های شفافیت برای ردیابی برنامه را مشاهده کنند.

در توضیحات آمده است: “این به روزرسانی در مورد شفافیت ردیابی برنامه در مواردی که برخی از کاربرانی که قبلاً” اجازه دادن به برنامه ها برای پیگیری در تنظیمات را غیرفعال کرده اند “غیرفعال کرده اند ، ممکن است پس از فعال سازی مجدد ، درخواست های برنامه را دریافت نکنند”. “این به روزرسانی همچنین به روزرسانی های امنیتی مهمی را ارائه می دهد و برای همه کاربران توصیه می شود.”

اپل هفته گذشته در نسخه iOS 14.5 برنامه های ردیابی شفافیت را منتشر کرد. این افزودنی فیس بوک را تکان داد زیرا از برنامه شرکت در پیگیری فعالیت کاربر در سایر برنامه های نصب شده توسط کاربران بدون اجازه صریح جلوگیری می کند. یک خطای دوم می تواند باعث تغییر شفافیت ردیابی برنامه در منوی تنظیمات خاکستری شود. گزارش های زیادی وجود دارد که نشان می دهد سوئیچ حتی پس از به روزرسانی در iOS 14.5.1 برای بسیاری از کاربران خاکستری باقی مانده است. مقامات اپل بلافاصله به درخواست نظر پاسخ ندادند.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>