به گزارش مجله خبری نگار، اپل آگاهی از وجود این نقص و سوء استفاده فعال از آن را تایید کرده است.
اپل در بهروزرسانی iOS ۱۶.۳.۱ همچنین آسیبپذیری در هسته با امکان اجرای کد دلخواه با امتیازات هسته توسط برنامه را با بهبود مدیریت حافظه برطرف کرده است.
امروز، اپل با تاخیر یک نقص امنیتی دیگر (CVE-۲۰۲۳-۲۳۵۲۴) اصلاحشده در iOS ۱۶.۳.۱ و iPadOS ۱۶.۳.۱ را اعلام کرد. این نقص امکان پردازش یک «گواهی مخرب ایجاد شده» در آیفون یا آیپد را به مهاجم میداد و منجر به حمله denial-of-service (DoS) میشد. این حملات شبکه را مملو از ترافیک جعلی میکند، باعث خرابی میشود و از دسترسی کاربران قانونی به اطلاعات مورد نیاز یا تکمیل اقدامات مورد نظر جلوگیری میکند. اپل این نقص را با بهبود “تأیید اعتبار ورودی” برطرف کرده است.
به گزارش ۹to۵Google، اپل در صفحه پشتیبانی محتوای امنیتی iOS ۱۶.۳ و iPadOS ۱۶.۳، سه نقص جدید اصلاح شده با بهروزرسانی جدید را افزوده است. نقص CVE-۲۰۲۳-۲۳۵۲۰، در گزارشگر خرابی iOS یافت شد و به مهاجمان اجازه اجرا فایلهای دلخواه به صورت روت را میداد. آسیبپذیریهای دیگر CVE-۲۰۲۳-۲۳۵۳۰ و CVE-۲۰۲۳-۲۳۵۳۱ نیز به صفحه پشتیبانی محتوای امنیتی اضافه شدند.
هر دوی این نقصها در بنیاد آیفون و آیپد یافت شدند و اپل میگوید، «لایهای از عملکردها را برای برنامهها و چارچوبها، از جمله ذخیرهسازی و ماندگاری داده، پردازش متن، محاسبات زمان، مرتبسازی و فیلتر کردن، و شبکهسازی ارائه میکند». با بهبود مدیریت حافظه، اپل توانست این آسیبپذیریها را با اجازه به برنامه در استفاده از کد دلخواه برای اجرا برنامه خارج از محدوده sandbox خود با برخی امتیازات بالا را اصلاح کند.
sandbox یک برنامه، برنامه را از دریافت یا تغییر فایلهای مورد استفاده توسط برنامههای دیگر محدود میکند. همچنین از ایجاد تغییرات در دستگاه توسط برنامهها جلوگیری میکند. اجازه دادن به یک برنامه برای اجرای دستورات خارج از sandbox خود میتواند بسیار خطرناک باشد و ممکن است به مهاجم اجازه کنترل کامل آیفون یا آی پد را بدهد.
برای اطمینان از نصب آخرین نرم افزار روی گوشی خود، در تنظیمات دستگاه به General > Software Update بروید و دستورالعملها را دنبال کنید.