رفع ۷ اشکال و آسیب‌پذیری با عرضه نسخه iOS ۱۰‌ شرکت اپل

شرکت اپل سه‌شنبه پیش طی اطلاعیه‌ای از طراحی و عرضه نسخه‌های iOS ۱۰ ،Xcode ۸ و watchOS ۳ خود خبر داد. طبق گزارش‌های منتشر شده، نسخه‌های جدید چندین آسیب‌پذیری را که منجر به بهره‌برداری‌های افشای اطلاعات، اجرای کد از راه دور و حملات منع سرویس می‌شدند، رفع کرده‌اند.

سامانه‌عامل iOS ۱۰ به طور کلی ۷ آسیب‌پذیری را رفع می‌کند. یکی از این آسیب‌پذیری‌ها که شناسه CVE-۲۰۱۶-۴۷۴۱ داشته و توسط رائول سایلز از شرکت DinoSec گزارش شده است، توسط نفوذگران برای اجرای حملات مرد میانی مورد استفاده قرار می‌گرفت و از دریافت پرونده‌های به‌روزرسانی برای دستگاه تلفن همراه جلوگیری می‌کرد. شرکت اپل این مشکل را با اجرای به‌روزرسانی از طریق اتصالات HTTPS رفع کرد.

محققان دانشگاه Politehnica در بخارست رومانی و همچنین دانشگاه کارولینای شمالی آمریکا و دانشگاه فنی Darmstadt در آلمان نیز در تحقیقات خود خبر از وجود دو آسیب‌پذیری در سامانه‌عامل iOS دادند. گزارش‌ها و تحقیقات این محققان نشان می‌دهند که برنامه‌های مخرب با استفاده آسیب‌پذیری دارای شناسه CVE-۲۰۱۶-۴۷۱۹ به موقعیت کاربر دسترسی پیدا می‌کنند و با استفاده از آسیب‌پذیری دارای شناسه CVE-۲۰۱۶-۴۶۲۰ می‌توانند مشخص کنند که کاربر در حال ارسال پیام به کدام‌یک از مخاطبان خود است.

نسخه iOS ۱۰ علاوه بر این، یک آسیب‌پذیری مربوط به ویژگی‌های اصلاح خودکار صفحه‌کلید را رفع کرده است. این آسیب‌پذیری که دارای شناسه CVE-۲۰۱۶-۴۷۴۶ است، منجر به افشای اطلاعات محرمانه از طریق صفحه‌کلید می‌شود. این نسخه همچنین یک آسیب‌پذیری با شناسه CVE-۲۰۱۶-۴۷۴۷ را رفع کرده است که به نفوذگران این امکان را می‌دهد که از طریق انجام حملات مرد میانی، اطلاعات ورود به رایانامه کاربر را سرقت کنند. یکی از آسیب‌پذیری‌های دیگر که توسط این نسخه رفع شده است،‌ یک اشکال با شناسه CVE-۲۰۱۶-۴۷۴۰ است که پیام‌های دستگاه‌هایی که به بخش Messages app وارد نشده باشند را به راحتی به نفوذگران نمایش می‌دهد.

علاوه بر محققان سه دانشگاه، یک محقق ناشناس دیگر نیز طی بررسی‌هایی نشان داد که در بخش پیش‌نمایش AirPrint اشکالی وجود دارد که دارای شناسه CVE-۲۰۱۶-۴۷۴۹ است و منجر به تبدیل اسناد و پرونده‌های رمزنگاری نشده به پرونده‌های موقت می‌شود.

پس از طراحی نسخه جدید iOS و نصب آن توسط کاربران، بسیاری از کاربران گزارش دادند که دستگاه‌های iPhone و iPad آن‌ها پس از اقدام برای به‌روزرسانی سامانه‌عامل به iOS ۱۰، به مشکل برخورده‌اند. این مسئله شرکت اپل را بر آن داشت که با طراحی و عرضه نسخه iOS ۱۰.۰.۱، این مشکل را حل کند. شایان‌ذکر است که این شرکت با طراحی این نسخه، برای یک آسیب‌پذیری از مجموعه آسیب‌پذیری‌های Trident که توسط همین شرکت در ماه گذشته در نسخه iOS ۹.۳.۵ رفع شده بود، وصله طراحی کرد.

نکته مهم در مورد نسخه‌ها و محصولات جدید شرکت اپل این است که ازآنجایی‌که سامانه عامل watchOS بر اساس سامانه‌عامل اصلی iOS کار می‌کند، اشکال دارای شناسه CVE-۲۰۱۶-۴۷۱۹ در هر دو این سامانه‌های‌عامل مشاهده می‌شود. نسخه جدید watchOS ۳ این اشکال را رفع کرده است. این اشکال طبق گزارش‌ها منجر به افشای اطلاعات می‌شد.

همچنین نسخه جدید Xcode شرکت اپل دو آسیب‌پذیری را رفع کرده است. این آسیب‌پذیری‌ها به یک نفوذگر محلی این امکان را می‌دادند که در کار برنامه‌ها اختلال ایجاد کرده و یا حمله اجرای کد از راه دور را ترتیب دهند. این دو حفره امنیتی که شناسه‌های CVE-۲۰۱۶-۴۷۰۴ و CVE-۲۰۱۶-۴۷۰۵ را دارند، توسط محققانی از شرکت‌های چینی Qihoo و Tencent کشف شدند و سپس شرکت اپل در این خصوص آگاه شد.

شایان‌ذکر است که شرکت اپل در پی گزارش‌های محققان مبنی بر کشف ۳ آسیب‌پذیری روز-صفرم، اقدام به‌روزرسانی فوری iOS ،OS X و Safari نمود. طبق بررسی‌ها، این ۳ آسیب‌پذیری برای جاسوسی علیه فعالان و گزارشگران حوزه حقوق بشر مورد استفاده قرار می‌گرفتند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.