تذكر أن تحديث Apple مضغوط ولكن بسرعة فائقة دفعت قبل ثلاثة أسابيع، بتاريخ 2023-05-01؟
كان هذا التحديث هو الأول من نوعه في Apple الجديد استجابة أمنية سريعة العملية ، حيث يمكن للشركة دفع التصحيحات الهامة لمكونات النظام الرئيسية دون المرور بتحديث نظام التشغيل بالحجم الكامل الذي ينقلك إلى رقم إصدار جديد.
كما تأملنا في بودكاست Naked Securirty هذا الأسبوع:
لقد قدمت Apple للتو "الاستجابات الأمنية السريعة". يبلغ الأشخاص عن أنهم يستغرقون ثوانٍ للتنزيل ويتطلبون إعادة تشغيل واحدة فائقة السرعة. [لكن] أما بالنسبة للشفافية [حول التحديث] ، فهي مضغوطة. بالتأكيد لا توجد معلومات عما كان عليه الأمر. لكنها كانت لطيفة وسريعة!
جيد للبعض
لسوء الحظ ، كانت هذه الردود الأمنية السريعة الجديدة متاحة فقط لأحدث إصدار من macOS (حاليًا Ventura) وأحدث iOS / iPadOS (حاليًا في الإصدار 16) ، والتي تركت مستخدمي أجهزة Mac و iDevices الأقدم ، بالإضافة إلى مالكي ساعات Apple وأجهزة Apple TV في الظلام.
يشير وصف Apple للتصحيحات السريعة الجديدة إلى أنهم سيتعاملون عادةً مع أخطاء اليوم الصفري التي أثرت على البرامج الأساسية مثل متصفح Safari و WebKit ، وهو محرك عرض الويب الذي يتعين على كل متصفح استخدامه على أجهزة iPhone و iPad.
من الناحية الفنية ، يمكنك إنشاء تطبيق متصفح iPhone أو iPad يستخدم محرك Chromium ، كما يفعل Chrome و Edge ، أو محرك Gecko ، كما تفعل متصفحات Mozilla ، لكن Apple لن تسمح له بالدخول إلى App Store إذا فعلت ذلك.
ونظرًا لأن App Store هو مصدر التطبيقات الوحيد "المسور" للأجهزة المحمولة من Apple ، فهذا هو: طريقة WebKit ، أو بأي حال من الأحوال.
السبب في أن أخطاء WebKit الحرجة تميل إلى أن تكون أكثر خطورة من الأخطاء في العديد من التطبيقات الأخرى هو أن المتصفحات تقضي وقتها عن قصد في جلب المحتوى من أي مكان وفي كل مكان على الإنترنت.
تقوم المستعرضات بعد ذلك بمعالجة هذه الملفات غير الموثوق بها ، والتي يتم توفيرها عن بُعد بواسطة خوادم الويب الخاصة بأشخاص آخرين ، وتحويلها إلى محتوى قابل للعرض والنقر عليه ، وعرضها كصفحات ويب يمكنك التفاعل معها.
تتوقع أن يحذرك المستعرض الخاص بك بنشاط ، ويطلب إذنًا صريحًا ، قبل تنفيذ الإجراءات التي يُحتمل أن تكون خطيرة ، مثل تنشيط كاميرا الويب ، أو القراءة في الملفات المخزنة بالفعل على جهازك ، أو تثبيت برنامج جديد.
لكنك تتوقع أيضًا أن تتم معالجة المحتوى الذي لا يعتبر خطيرًا بشكل مباشر ، مثل عرض الصور ومقاطع الفيديو التي سيتم عرضها وتشغيل الملفات الصوتية وما إلى ذلك ، وتقديمها لك تلقائيًا.
ببساطة ، مجرد زيارة يجب ألا تعرضك صفحة الويب لخطر زرع برامج ضارة على جهازك ، أو سرقة بياناتك ، أو كشف كلمات المرور الخاصة بك ، أو تعرض حياتك الرقمية لبرامج التجسس ، أو أي مخالفات من هذا النوع.
ما لم يكن هناك خطأ
ما لم يكن هناك ، بالطبع ، خطأ في WebKit (أو ربما العديد من الأخطاء التي يمكن دمجها بشكل استراتيجي) ، لذلك بمجرد إعداد ملف صورة مفخخة عمدًا أو مقطع فيديو أو نافذة منبثقة JavaScript ، يمكن خداع متصفحك للقيام بشيء ما لا ينبغي.
إذا اكتشف المجرمون الإلكترونيون ، أو بائعو برامج التجسس ، أو أدوات كسر الحماية ، أو الخدمات الأمنية لحكومة لا تحبك ، أو أي شخص لديه مصلحتك الأسوأ ، خطأً قابلاً للاستغلال من هذا النوع ، فقد يكونون قادرين على اختراق الأمن السيبراني بجهازك بالكامل ...
... ببساطة عن طريق استدراجك إلى موقع ويب آخر بريء يجب أن يكون آمنًا تمامًا لزيارته.
حسنًا ، تابعت Apple للتو أحدث تصحيحات الاستجابة السريعة للأمان بتحديثات كاملة لجميع منتجاتها المدعومة ، ومن بين النشرات الأمنية لتلك التصحيحات ، اكتشفنا أخيرًا ما كانت هذه الردود السريعة هناك لإصلاح.
يومين صفر:
- CVE-2023-28204: WebKit. تمت معالجة القراءة خارج الحدود من خلال التحقق المحسّن من صحة الإدخال. قد تكشف معالجة محتوى الويب عن معلومات حساسة. Apple على علم بتقرير يفيد بأنه قد تم استغلال هذه المشكلة بشكل نشط.
- CVE-2023-32373: WebKit. تمت معالجة مشكلة الاستخدام اللاحق من خلال الإدارة المحسّنة للذاكرة. قد تؤدي معالجة محتوى ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية. Apple على علم بتقرير يفيد بأنه قد تم استغلال هذه المشكلة بشكل نشط.
بشكل عام ، عندما يظهر يومان صفر من هذا النوع في نفس الوقت في WebKit ، فمن الرهان الجيد أنه تم دمجهم من قبل المجرمين لإنشاء هجوم استحواذ من خطوتين.
تعد الأخطاء التي تفسد الذاكرة عن طريق الكتابة فوق البيانات التي لا ينبغي لمسها (على سبيل المثال CVE-2023-32373) سيئة دائمًا ، لكن أنظمة التشغيل الحديثة تتضمن العديد من وسائل حماية وقت التشغيل التي تهدف إلى منع استغلال مثل هذه الأخطاء للسيطرة على برنامج عربات التي تجرها الدواب.
على سبيل المثال ، إذا اختار نظام التشغيل عشوائيًا المكان الذي تنتهي فيه البرامج والبيانات في الذاكرة ، فغالبًا ما لا يستطيع مجرمو الإنترنت فعل أكثر من تعطل البرنامج الضعيف ، لأنهم لا يستطيعون التنبؤ بكيفية وضع الشفرة التي يهاجمونها في الذاكرة .
ولكن مع وجود معلومات دقيقة حول ما هو المكان ، يمكن أحيانًا تحويل استغلال "تحطم" فجائي إلى استغلال "تحطم وتحافظ على التحكم": وهو ما يعرف بالاسم الوصفي الذاتي لـ تنفيذ التعليمات البرمجية عن بعد الفجوة.
بالطبع ، لا يمكن أن تؤدي الأخطاء التي تسمح للمهاجمين بالقراءة من مواقع الذاكرة التي لا يُفترض بهم (على سبيل المثال CVE-2023-28204) أن تؤدي مباشرةً إلى تسرب البيانات واستغلال سرقة البيانات فحسب ، بل تؤدي أيضًا بشكل غير مباشر إلى "التعطل والاحتفاظ- "control" ، من خلال الكشف عن الأسرار حول تخطيط الذاكرة داخل البرنامج وتسهيل توليه.
من المثير للاهتمام ، أن هناك تصحيحًا ليوم الصفر الثالث في آخر التحديثات ، ولكن يبدو أن هذا لم يتم إصلاحه في الاستجابة الأمنية السريعة.
- CVE-2023-32409: WebKit. تمت معالجة المشكلة من خلال عمليات التحقق المحسّنة من الحدود. قد يتمكن المهاجم عن بُعد من الخروج من وضع الحماية لمحتوى الويب. Apple على علم بتقرير يفيد بأنه قد تم استغلال هذه المشكلة بشكل نشط.
كما يمكنك أن تتخيل ، فإن الجمع بين هذه الأيام الثلاثة سيكون مكافئًا للتشغيل المنزلي لمهاجم: الخطأ الأول يكشف الأسرار اللازمة لاستغلال الخطأ الثاني بشكل موثوق ، ويسمح الخطأ الثاني بزرع الكود لاستغلال الخطأ الثالث ...
... عند هذه النقطة ، لم يكتف المهاجم بالسيطرة على "الحديقة المسورة" لصفحتك على الويب الحالية فحسب ، بل سيطر على متصفحك بالكامل ، أو ما هو أسوأ.
ماذا ستفعلين.. إذًا؟
تأكد من أنك مصحح! (اذهب إلى الإعدادات > العلاجات العامة > تحديث النظام.)
حتى الأجهزة التي تلقت بالفعل استجابة أمنية سريعة في بداية مارس 2023 لا يزال يتعين إصلاحها.
وقد تلقت جميع الأنظمة الأساسية العديد من إصلاحات الأمان الأخرى للأخطاء التي يمكن استغلالها للهجمات المتنوعة مثل: تجاوز تفضيلات الخصوصية ؛ الوصول إلى البيانات الخاصة من شاشة القفل ؛ قراءة معلومات موقعك دون إذن ؛ التجسس على حركة مرور الشبكة من تطبيقات أخرى ؛ و اكثر.
بعد التحديث ، سترى أرقام الإصدارات التالية:
- نظام التشغيل ووتش: الآن في الإصدار 9.5
- نظام التشغيل tvOS: الآن في الإصدار 16.5
- iOS 15 و iPadOS 15: الآن في الإصدار 15.7.6
- iOS 16 و iPadOS 16: الآن في الإصدار 16.5
- macOS بيج سور: الآن في 11.7.7
- ماك أو إس مونتيري: الآن في 12.6.6
- مشروع macOS: الآن في 13.4
ملاحظة مهمة: إذا كان لديك macOS Big Sur أو macOS Monterey ، فلن يتم تجميع تصحيحات WebKit المهمة تمامًا مع تحديث إصدار نظام التشغيل ولكن يتم توفيرها في حزمة تحديث منفصلة تسمى رحلات السفاري 16.5.
استمتع بالتداول!
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 1
- 15%
- 2023
- 7
- a
- ماهرون
- من نحن
- مطلق
- إطلاقا
- الوصول
- الإجراءات
- تفعيل
- بنشاط
- هدف
- الكل
- يسمح
- سابقا
- أيضا
- دائما
- an
- و
- أي وقت
- أي شخص
- في أى مكان
- التطبيق
- المتجر
- تفاح
- التطبيقات
- التطبيقات
- هي
- AS
- At
- مهاجمة
- مهاجمة
- الهجمات
- سمعي
- المؤلفة
- السيارات
- تلقائيا
- متاح
- علم
- خلفية الصورة
- سيئة
- BE
- لان
- كان
- قبل
- يجري
- مراهنة
- كبير
- الحدود
- الملابس السفلية
- استراحة
- تندلع
- المتصفح
- المتصفحات
- علة
- البق
- المجمعة
- لكن
- by
- تسمى
- CAN
- مركز
- الشيكات
- الكروم
- الكروم
- الكود
- اللون
- الجمع بين
- الجمع بين
- حول الشركة
- مكونات
- حل وسط
- نظرت
- محتوى
- مراقبة
- تحول
- جوهر
- استطاع
- الدورة
- بهيكل
- تحطم
- خلق
- المجرمين
- حرج
- الخام
- حالياًّ
- حاليا
- مجرمو الإنترنت
- الأمن السيبراني
- خطير
- غامق
- البيانات
- تسرب البيانات
- صفقة
- وصف
- جهاز
- الأجهزة
- فعل
- رقمي
- مباشرة
- كشف
- العرض
- do
- لا
- فعل
- بإمكانك تحميله
- e
- أسهل
- حافة
- النهاية
- محرك
- كامل
- معادل
- كل
- مثال
- توقع
- استغلال
- استغلال
- مآثر
- قم بتقديم
- ملفات
- أخيرا
- الاسم الأول
- ثابت
- يتبع
- متابعيك
- في حالة
- وجدت
- تبدأ من
- Go
- الذهاب
- خير
- حكومة
- يملك
- وجود
- قلب
- ارتفاع
- حفرة
- الصفحة الرئيسية
- تحوم
- كيفية
- HTTPS
- if
- صورة
- صور
- تخيل
- ضمني
- تحسن
- in
- تتضمن
- بشكل غير مباشر
- معلومات
- إدخال
- تركيب
- عمدا
- تفاعل
- السريرية
- Internet
- إلى
- أدخلت
- باد
- iPadOS
- اي فون
- قضية
- IT
- انها
- جافا سكريبت
- م
- القفل
- معروف
- آخر
- آخر التحديثات
- تصميم
- قيادة
- اليسار
- الحياة
- مثل
- موقع
- المواقع
- ماك
- القيام ب
- البرمجيات الخبيثة
- إدارة
- كثير
- مارس
- هامش
- ماكس العرض
- مايو..
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- مجرد
- الجوال
- أجهزة محمولة
- تقدم
- الأكثر من ذلك
- كثيرا
- الاسم
- بحاجة
- شبكة
- ازدحام انترنت
- جديد
- رحلة جميلة
- لا
- عادي
- الآن
- عدد
- أرقام
- of
- غالبا
- on
- ONE
- فقط
- تعمل
- نظام التشغيل
- أنظمة التشغيل
- or
- أخرى
- وإلا
- خارج
- على مدى
- أصحاب
- صفقة
- صفحة
- كلمات السر
- بقعة
- بقع
- بول
- مجتمع
- الشعب
- أداء
- ربما
- إذن
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- لعبت
- بودكاست
- البوينت
- ان يرتفع المركز
- المنشورات
- يحتمل
- حاجة
- تنبأ
- التفضيلات
- إعداد
- قدم
- خصوصية
- خاص
- عملية المعالجة
- معالجة
- المنتجات
- البرنامج
- البرامج
- دفع
- وضع
- سريع
- عرض
- نادي القراءة
- سبب
- تلقى
- عن بعد
- أداء
- تقرير
- التقارير
- طلب
- تطلب
- استجابة
- ردود
- كاشفا
- يكشف
- حق
- المخاطرة
- يجري
- سفاري
- خزنة
- نفسه
- رمل
- الثاني
- ثواني
- سيكريت
- أمن
- انظر تعريف
- الباعة
- حساس
- مستقل
- خدمات
- عدة
- عدة حشرات
- ينبغي
- إظهار
- أظهرت
- So
- تطبيقات الكمبيوتر
- الصلبة
- شيء
- مصدر
- تحدث
- أنفق
- تجسس
- برامج التجسس
- بداية
- لا يزال
- مسروق
- قلة النوم
- متجر
- تخزين
- إستراتيجيا
- هذه
- زودت
- مدعومة
- مفترض
- SVG
- نظام
- أنظمة
- أخذ
- استيلاء
- يأخذ
- من
- أن
- •
- سرقة
- من مشاركة
- منهم
- then
- تشبه
- هم
- الثالث
- هؤلاء
- ثلاثة
- عبر
- الوقت
- إلى
- تيشرت
- لمست
- حركة المرور
- انتقال
- شفاف
- تحول
- اثنان
- عادة
- تحديث
- آخر التحديثات
- تحديث
- URL
- تستخدم
- استخدام خالية بعد
- مستعمل
- المستخدمين
- التحقق من صحة
- الإصدار
- جدا
- فيديو
- مقاطع فيديو
- قم بزيارتنا
- الضعيفة
- وكان
- الساعات
- طريق..
- we
- الويب
- كاميرا
- طقم الويب
- الموقع الإلكتروني
- أسبوع
- أسابيع
- حسن
- كان
- ابحث عن
- متى
- التي
- سوف
- مع
- بدون
- أسوأ
- أسوأ
- سوف
- لصحتك!
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت