هفته گذشته، اپل iOS 16.3.1 و iPadOS 16.3.1 را برای رفع چند نقص امنیتی آیفون و آیپد منتشر کرد. یکی از نقصهای امنیتی یافتشده در موتور مرورگر WebKit به مهاجم امکان اجرای کد دلخواه و دستورات روی دستگاه مورد نظر را میداد.
به گزارش تکناک، اپل آگاهی از وجود این نقص و سوء استفاده فعال از آن را تایید کرده است.
اپل در بهروزرسانی iOS 16.3.1 همچنین آسیبپذیری در هسته با امکان اجرای کد دلخواه با امتیازات هسته توسط برنامه را با بهبود مدیریت حافظه برطرف کرده است.
امروز، اپل با تاخیر یک نقص امنیتی دیگر (CVE-2023-23524) اصلاحشده در iOS 16.3.1 و iPadOS 16.3.1 را اعلام کرد. این نقص امکان پردازش یک «گواهی مخرب ایجاد شده» در آیفون یا آیپد را به مهاجم میداد و منجر به حمله denial-of-service (DoS) می شد. این حملات شبکه را مملو از ترافیک جعلی میکند، باعث خرابی می شود و از دسترسی کاربران قانونی به اطلاعات مورد نیاز یا تکمیل اقدامات مورد نظر جلوگیری می کند. اپل این نقص را با بهبود “تأیید اعتبار ورودی” برطرف کرده است.
به گزارش 9to5Google، اپل در صفحه پشتیبانی محتوای امنیتی iOS 16.3 و iPadOS 16.3، سه نقص جدید اصلاح شده با بهروزرسانی جدید را افزوده است. نقص CVE-2023-23520، در گزارشگر خرابی iOS یافت شد و به مهاجمان اجازه اجرا فایلهای دلخواه به صورت روت را میداد. آسیبپذیریهای دیگر CVE-2023-23530 و CVE-2023-23531 نیز به صفحه پشتیبانی محتوای امنیتی اضافه شدند.
هر دوی این نقصها در بنیاد آیفون و آیپد یافت شدند و اپل میگوید، «لایهای از عملکردها را برای برنامهها و چارچوبها، از جمله ذخیرهسازی و ماندگاری داده، پردازش متن، محاسبات زمان، مرتبسازی و فیلتر کردن، و شبکهسازی ارائه میکند». با بهبود مدیریت حافظه، اپل توانست این آسیبپذیریها را با اجازه به برنامه در استفاده از کد دلخواه برای اجرا برنامه خارج از محدوده sandbox خود با برخی امتیازات بالا را اصلاح کند.
sandbox یک برنامه، برنامه را از دریافت یا تغییر فایل های مورد استفاده توسط برنامه های دیگر محدود می کند. همچنین از ایجاد تغییرات در دستگاه توسط برنامه ها جلوگیری می کند. اجازه دادن به یک برنامه برای اجرای دستورات خارج از sandbox خود می تواند بسیار خطرناک باشد و ممکن است به مهاجم اجازه کنترل کامل آیفون یا آی پد را بدهد.
برای اطمینان از نصب آخرین نرم افزار روی گوشی خود، در تنظیمات دستگاه به General > Software Update بروید و دستورالعمل ها را دنبال کنید.
