“يوم الإثنين ، أصدرت Apple تحديثًا أمنيًا لنظامي التشغيل iOS و iPad لمعالجة ثغرة أمنية خطيرة تقول إنه يتم استغلالها في الطبيعة ، مما يجعلها خسوفًا لمدة 17 يومًا تناولته الشركة في منتجاتها منذ بداية العام.”
ضعف في الهوية CVE-2021-30883، يعالج مشكلة تلف الذاكرة في مكون “IOMobileFrameBuffer” الذي قد يسمح لتطبيق ما بتنفيذ تعليمات برمجية عشوائية بامتيازات أساسية. وقالت شركة آبل ، التي نسبت الفضل إلى محقق مجهول في الإبلاغ عن الثغرة الأمنية ، إنها “على علم بتقرير يفيد بأنه ربما تم استغلال المشكلة بشكل نشط”.
التفاصيل الفنية حول الخلل وطبيعة الهجمات ليست متوفرة بعد ، كما هو الحال مع هوية لاعب التهديد ، من أجل السماح لمعظم المستخدمين بتنفيذ التصحيح ومنع المعارضين الآخرين من تقبيل الثغرة. قال صانع iPhone إنه عالج المشكلة من خلال تحسين الذاكرة.
الباحث الأمني سار عمار مشترك مزيد من التفاصيل واستخدام إثبات المفهوم (PoC) ويلاحظ أن “سطح الهجوم هذا مثير جدًا للاهتمام لأنه يمكن الوصول إليه من وضع الحماية للتطبيق (لذا فهو رائع لاختراق السجون) والعديد من العمليات الأخرى ، مما يجعله مرشحًا جيدًا لعمليات استغلال LPE في السلاسل “.
CVE-2021-30883 هو أيضًا ثاني برنامج IOMobileFrameBuffer في يوم الصفر بعد أن عالجت Apple مشكلة تلف ذاكرة مجهولة مماثلة (CVE-2021-30807) في يوليو 2021 ، مما يزيد من احتمال أن يكون العيبان مرتبطين. مع التعديل الأخير ، سجلت الشركة رقماً قياسياً قدره 17 صفر يوم حتى الآن في عام 2021 وحده-
- CVE-2021-1782 (الأساسية) – قد يقوم التطبيق الضار برفع الأذونات
- CVE-2021-1870 (WebKit) – قد تتسبب الصلاحية عن بُعد في تنفيذ تعليمات برمجية عشوائية
- CVE-2021-1871 (WebKit) – قد تتسبب الصلاحية عن بُعد في تنفيذ تعليمات برمجية عشوائية
- CVE-2021-1879 (WebKit) – قد تؤدي معالجة محتوى الويب الضار إلى برمجة نصية عالمية عبر المواقع
- CVE-2021-30657 (تفضيلات النظام) – قد يتجاوز التطبيق الضار اختبارات برنامج حماية البوابة
- CVE-2021-30661 (تخزين WebKit) – يمكن أن تؤدي معالجة محتوى الويب الضار إلى تنفيذ تعليمات برمجية عشوائية
- CVE-2021-30663 (WebKit) – يمكن أن تؤدي معالجة محتوى الويب الضار إلى تنفيذ تعليمات برمجية عشوائية
- CVE-2021-30665 (WebKit) – يمكن أن تؤدي معالجة محتوى الويب الضار إلى تنفيذ تعليمات برمجية عشوائية
- CVE-2021-30666 (WebKit) – يمكن أن تؤدي معالجة محتوى الويب الضار إلى تنفيذ تعليمات برمجية عشوائية
- CVE-2021-30713 (إطار عمل TCC) – قد يتجاوز التطبيق الضار تفضيلات الخصوصية
- CVE-2021-30761 (WebKit) – يمكن أن تؤدي معالجة محتوى الويب الضار إلى تنفيذ تعليمات برمجية عشوائية
- CVE-2021-30762 (WebKit) – يمكن أن تؤدي معالجة محتوى الويب الضار إلى تنفيذ تعليمات برمجية عشوائية
- CVE-2021-30807 (IOMobileFrameBuffer) – يجوز للتطبيق تنفيذ تعليمات برمجية عشوائية بأذونات أساسية
- CVE-2021-30858 (WebKit) – يمكن أن تؤدي معالجة محتوى الويب الضار إلى تنفيذ تعليمات برمجية عشوائية
- CVE-2021-30860 (CoreGraphics) – قد تؤدي معالجة PDF المتطفلة إلى تنفيذ تعليمات برمجية عشوائية
- CVE-2021-30869 (XNU) – قد يكون التطبيق الضار قادرًا على تنفيذ تعليمات برمجية عشوائية باستخدام الأذونات الأساسية
ينصح مستخدمو Apple iPhone و iPad بشدة بالتحديث إلى أحدث إصدار (iOS 15.0.2 و iPad 15.0.2) لتقليل الثغرات الأمنية.
“Social media addict. Zombie fanatic. Travel fanatic. Music geek. Bacon expert.”
