آسیبپذیریهای چندگانه در محصولات اپل، که میتواند منجر به اجرای کد دلخواه شود.
نظری اجمالی: آسیبپذیریهای متعددی در Safari ،watchOS ،tvOS ،Mojave ،High Sierra ،Sierra و iOS کشف شده است که بهرهبرداری از شدیدترین این آسیبپذیریها میتواند موجب اجرای کد دلخواه شود. • Safari مرورگر وب موجود برای OS X است. • watchOS سیستمعامل تلفن همراه برای ساعت اپل است و بر اساس سیستم عامل iOS است. • tvOS یک سیستمعامل برای دستگاه پخش دیجیتال نسل چهارم تلویزیونهای اپل است. • Mojave یک سیستمعامل دسکتاپ و سرور برای رایانههای مکینتاش است. • High Sierra سیستمعامل دسکتاپ و سرور برای رایانههای مکینتاش است. • Sierra یک سیستمعامل دسکتاپ و سرور برای رایانههای مکینتاش است. • iOS یک سیستمعامل تلفن همراه برای دستگاههای تلفن همراه، از جمله iPhone، iPad و iPod touch است. بهرهبرداری موفق از شدیدترین این آسیبپذیریها میتواند منجر به اجرای کد دلخواه در محتوای نرمافزار شود و مهاجمان میتوانند دسترسیهایی مثل یک کاربر لاگین شده و همچنین دور زدن محدودیتهای امنیتی را داشته باشد. بسته به مجوزهای مربوط به کاربر، مهاجم میتواند نرمافزارها را نصب و یا حذف کند و همچنین اطلاعات و دادهها را مشاهده، تغییر یا حذف کند و یا حسابهای جدید با حقوق کامل کاربری را ایجاد کند. تهدید امنیتی: در حال حاضر هیچ گزارشی مبنی بر سوء استفاده از این آسیبپذیریها در دنیای بیرون ارائه نشده است. سیستمهای تحت تاثیر این آسیبپذیریها: • Safari نسخههای قبل از 12.1.1 • watchOS نسخههای قبل از 5.2.1 • tvOS نسخههای قبل از 12.3 • MacOS Mojave نسخه قبل از 10.14.5، بروزرسانی امنیتی 2019-003 High Sierra ، بروزرسانی امنیتی 2019-003 Sierra • iOS نسخههای قبل از 12.3 • نرمافزار تلویزیون اپل نسخه 7.3 ریسکپذیری و مخاطره : دولتی : • موسسات دولتی بزرگ و متوسط : زیاد • موسسات دولتی کوچک : زیاد کسب و کار و تجارت : • موسسات دولتی بزرگ و متوسط : زیاد • موسسات دولتی کوچک : زیاد کاربران خانگی : • زیاد خلاصه فنی: آسیبپذیریهای متعددی در Safari، watchOS ، tvOS ، Mojave ، High Sierra ، Sierra و iOS کشف شده است که بهرهبرداری از شدیدترین این آسیبپذیریها میتواند موجب اجرای کد دلخواه شود. جزئیات این آسیبپذیریها به شرح زیر است: • یک آسیبپذیری سرریز بافر که با مدیریت حافظه اصلاح شد. (CVE-2019-6224) • یک آسیبپذیری سرریز بافر که با bounds checking اصلاح شد. (CVE-2019-6213) • یک آسیبپذیری XSS در مرورگر Safari که با اعتباردهی URL اصلاح شد. (CVE-2019-6228) • یک آسیبپذیری منع سرویس که با اعتباردهی اصلاح شد. (CVE-2019-6219) • یک مشکل منطقی که با اعتباردهی اصلاح شد. (CVE-2019-6229) • یک مشکل مصرف حافظه که با مدیریت حافظه اصلاح شد. (CVE-2018-4452) • مشکلات نقص حافظه چندگانه که با اعتباردهی ورودی اصلاح شد. (CVE-2019-20345, CVE-2019-20505, CVE-2019-20506) • یک مشکل نقص حافظه که با بررسی وضعیت قفل (lock state checking) اصلاح شد. (CVE-2019-6205) • یک مشکل موجود در ادامه دوباره تکمیل خودکار پس از آن لغو شد که با مدیریت وضعیت اصلاح شد. (CVE-2019-6206) • یک مشکل خواندن خارج از محدوده که منجر به افشای حافظه شد و با اعتباردهی ورودی اصلاح شد. (CVE-2019-6209) • مشکلات نقص حافظه چندگانه که با اعتباردهی ورودی اصلاح شد. (CVE-2019-6210, CVE-2019-6218) • مشکلات نقص حافظه چندگانه که با مدیریت حافظه اصلاح شد. (CVE-2019-6212, CVE-2019-6216, CVE-2019-6217, CVE-2019-6226) • مشکلات نقص حافظه چندگانه که با اعتباردهی ورودی اصلاح شد. (CVE-2019-6227, CVE-2019-6233, CVE-2019-6234, CVE-2019-6227) • مشکلات نقص حافظه چندگانه که با مدیریت وضعیت (state management) اصلاح شد. (CVE-2018-4467, CVE-2019-6211) • مشکلات نقص حافظه چندگانه که با اعتباردهی اصلاح شد. (CVE-2019-6225, CVE-2019-6235) • مسائل مقداردهی اولیه حافظه که با مدیریت حافظه اصلاح شد. (CVE-2019-6208, CVE-2019-6230) • مشکلات خواندن خارج از محدوده چندگانه که با bounds checking اصلاح شد. (CVE-2019-6202, CVE-2019-6221, CVE-2019-6231) • یک مشکل خواندن خارج از محدوده که با اعتباردهی ورودی اصلاح شد. (CVE-2019-6200, CVE-2019-6220) • مشکلات مبهمسازی چندگانه که با مدیریت حافظه اصلاح شد. (CVE-2019-6214, CVE-2019-6215) توصیه میشود که اقدامات زیر انجام شود: • بلافاصله پس از آزمایش مناسب، وصله مناسب ارائهشده توسط اپل به سیستمهای آسیبپذیر اعمال شود. • برای کاهش اثرات حمله موفقیت آمیز ، همهی نرمافزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید. • تذکر به کاربران برای بازدید نکردن وبسایتهای با منبع نامعتبر و همچنین دنبال نکردن لینکهای ناشناس. • اطلاعرسانی و آموزش کاربران در مورد تهدیدات ناشی از لینکهای ابرمتن موجود در ایمیلها یا ضمیمهها مخصوصا از منابع نامعتبر و ناشناس. • اصل POLP یا Principle of Least Privilege را به تمام سیستمها و سرویسها اعمال کنید.
مرکز ماهر
دانشگاه کردستان