بروز رسانی‌ های IOS و macOS برای وصله آسیب‌ پذیری 0Day اپل منتشر شد


1/5 - (1 امتیاز)

اپل ششم بهمن سال 1400 وصله هایی برای iOS 15.3 و macOS Monterey 12.2 برای رفع اشکال نقص حریم خصوصی در مرورگر Safari و همچنین یک آسیب پذیری 0Day منتشر کرد .
آسیب‌ پذیری 0Day اپل در اینترنت برای نفوذ به دستگاه‌ هایش مورد سوء استفاده قرار گرفته است.

آسیب‌ پذیری 0Day اپل که شناسه CVE-2022-22587 به آن تعلق گرفته است , مربوط به یک مشکل خرابی حافظه در مؤلفه IOMobileFrameBuffer است که می‌ تواند توسط یک برنامه مخرب برای اجرای کد دلخواه با امتیازات هسته مورد سوء استفاده قرار گیرد.

سازندگان آیفون گفته اند که “از اینکه این آسیب پذیری ممکن است به طور فعال مورد سوء استفاده قرار گرفته باشد، آگاه است” و افزود که این مشکل را با اعتبار سنجی ورودی حل کرده است. وی همچنین ماهیت حملات، گستردگی آنها یا هویت عوامل تهدید کننده که از آنها سوء استفاده می کنند را فاش نکرد.

محققی ناشناس به همراه میثم فیروزی و سیذارت ایری مسئول کشف و گزارش این اسیب پذیری هستند.

CVE-2022-22587 سومین آسیب پذیری 0Day است که در IOMobileFrameBuffer در یک بازه زمانی شش ماهه پس از CVE-2021-30807 و CVE-2021-30883 کشف شده است. در دسامبر 2021، اپل چهار نقطه ضعف دیگر را در هسته که برای مدیریت فریم بافر صفحه استفاده می‌شود، برطرف کرد.

آسیب‌ پذیری اخیرا فاش شده در Safari که ناشی از اجرای معیوب IndexedDB API (CVE-2022-22594) است همچنین توسط این غول فناوری رفع شده است، ، که می‌ تواند توسط یک وب‌ سایت مخرب برای ردیابی فعالیت آنلاین کاربران در مرورگر وب مورد سوء استفاده قرار گیرد و حتی هویت آنها را فاش کند.

سایر ایرادات قابل توجه عبارتند از –

  • CVE-2022-22584 – یک مشکل خرابی حافظه در ColorSync که ممکن است منجر به اجرای کد دلخواه هنگام پردازش یک فایل مخرب شود.
  • CVE-2022-22578 – یک مشکل منطقی در Crash Reporter که می تواند به یک برنامه مخرب اجازه دهد تا امتیازات ریشه را به دست آورد.
  • CVE-2022-22585 – یک مشکل اعتبار سنجی مسیر در iCloud که می تواند توسط یک برنامه کنترل شده برای دسترسی به فایل های کاربر مورد سوء استفاده قرار گیرد.
  • CVE-2022-22591 – یک مشکل خرابی حافظه در درایور گرافیک اینتل که می تواند توسط یک برنامه مخرب برای اجرای کد دلخواه با امتیازات هسته مورد سوء استفاده قرار گیرد.
  • CVE-2022-22593 – یک مشکل سرریز بافر در هسته که می تواند توسط یک برنامه مخرب برای اجرای کد دلخواه با امتیازات هسته مورد سوء استفاده قرار گیرد.
  • CVE-2022-22590 – یک اسیب پذیری استفاده دوباره از حافظه (یا نشت حفاظه) در WebKit که در هنگام پردازش محتوای وب کنترل شده توسط مهاجم منجر به اجرای کد دلخواه شود

بروزرسانی‌ها برای iPhone 6s به بعد، iPad Pro همه مدل‌ها)، iPad Air 2 و بالاتر، iPad نسل 5 به بعد، iPad mini 4 و بالاتر، iPod touch (نسل هفتم، و دستگاه‌های macOS دارای Big Sur، Catalina و مونتری در دسترس هستند.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.