آن آپدیت زیپ دار اما فوق سریع اپل را به خاطر داشته باشید سه هفته پیش رانده شد، در 2023-05-01؟
آن بهروزرسانی اولین نسخه جدید اپل بود پاسخ سریع امنیتی فرآیندی که به موجب آن شرکت میتواند وصلههای مهم را برای اجزای کلیدی سیستم بدون انجام بهروزرسانی کامل سیستم عامل که شما را به شماره نسخه جدید میبرد، ارسال کند.
همانطور که در پادکست Naked Securirty آن هفته فکر کردیم:
اپل به تازگی "پاسخ های امنیتی سریع" را معرفی کرده است. مردم گزارش می دهند که دانلود آنها چند ثانیه طول می کشد و به یک راه اندازی مجدد بسیار سریع نیاز دارند. [اما] در مورد صلب بودن [در مورد به روز رسانی]، آنها به صورت زیپ دار هستند. مطلقاً هیچ اطلاعاتی در مورد چیست. اما خوب و سریع بود!
برای بعضی ها خوبه
متأسفانه، این پاسخهای امنیتی سریع جدید فقط برای آخرین نسخه macOS (در حال حاضر Ventura) و آخرین iOS/iPadOS (در حال حاضر در نسخه 16) در دسترس بودند، که باعث شد کاربران مکها و آیدیوایسهای قدیمیتر و همچنین صاحبان اپل واچها باقی بمانند. و تلویزیون های اپل، در تاریکی.
توضیح اپل از وصلههای سریع جدید نشان میدهد که آنها معمولاً با باگهای روز صفر که بر روی نرمافزار اصلی مانند مرورگر سافاری و WebKit تأثیر میگذارند، که موتور رندر وب است که هر مرورگر موظف به استفاده از آن در آیفونها و آیپد است، برخورد میکند.
از نظر فنی، میتوانید یک برنامه مرورگر آیفون یا آیپد بسازید که از موتور کرومیوم استفاده میکند، همانطور که کروم و اج انجام میدهند، یا موتور Gecko، همانطور که مرورگرهای موزیلا انجام میدهند، اما اگر این کار را میکردید، اپل آن را به اپ استور اجازه نمیداد.
و از آنجایی که اپ استور یک و تنها منبع برنامههای «باغ دیواری» برای دستگاههای تلفن همراه اپل است، این به این صورت است: این روش WebKit است یا هیچ راهی.
دلیل اینکه باگهای حیاتی WebKit نسبت به بسیاری از برنامههای کاربردی دیگر خطرناکتر هستند این است که مرورگرها کاملاً عمداً وقت خود را صرف واکشی محتوا از هر کجا و همهجای اینترنت میکنند.
مرورگرها سپس این فایلهای غیرقابل اعتماد را که از راه دور توسط سرورهای وب دیگران ارائه میشوند، پردازش میکنند، آنها را به محتوای قابل مشاهده و کلیک تبدیل میکنند و آنها را بهعنوان صفحات وب نمایش میدهند که میتوانید با آنها تعامل داشته باشید.
شما انتظار دارید که مرورگر شما قبل از انجام اقداماتی که به طور بالقوه خطرناک در نظر گرفته می شوند، مانند فعال کردن وب کم، خواندن فایل های ذخیره شده در دستگاه شما، یا نصب نرم افزار جدید، فعالانه به شما هشدار دهد، و صریحاً مجوز درخواست کند.
اما شما همچنین انتظار دارید که محتوایی که مستقیماً خطرناک تلقی نمی شود، مانند نمایش تصاویر، نمایش فیلم ها، پخش فایل های صوتی و غیره به صورت خودکار پردازش و به شما ارائه شود.
به زبان ساده، صرفا بازدید یک صفحه وب نباید شما را در معرض خطر قرار دادن بدافزار در دستگاهتان، دزدیده شدن دادههایتان، کشف رمزهای عبور، زندگی دیجیتالیتان در معرض جاسوسافزار یا هر گونه تخلفی از این قبیل قرار دهد.
مگر اینکه اشکالی وجود داشته باشد
البته، مگر اینکه در WebKit اشکالی وجود داشته باشد (یا شاید چندین باگ که بتوان آنها را به صورت استراتژیک با هم ترکیب کرد)، به طوری که صرفاً با تهیه یک فایل تصویری عمدی به دام افتاده، یا ویدیو یا پاپ آپ جاوا اسکریپت، مرورگر شما فریب خورده تا کاری انجام دهد. آن را نباید.
اگر مجرمان سایبری، یا فروشندگان جاسوسافزار، یا جیلبریکها، یا سرویسهای امنیتی دولتی که شما را دوست ندارد، یا در واقع هر کسی که بدترین منافع شما را در دل دارد، از این نوع باگ قابل بهرهبرداری کشف کنند، ممکن است بتوانند امنیت سایبری را به خطر بیندازند. کل دستگاه شما…
... صرفاً با فریب دادن شما به وب سایتی با ظاهری بی گناه که بازدید از آن باید کاملاً ایمن باشد.
خب، اپل به تازگی آخرین وصلههای Rapid Security Resonse خود را با بهروزرسانیهای کامل برای همه محصولات پشتیبانیشدهاش دنبال کرده است، و در میان بولتنهای امنیتی برای آن وصلهها، بالاخره متوجه شدیم که آن پاسخهای سریع چه بودهاند. برای تعمیر وجود دارد.
دو روز صفر:
- CVE-2023-28204: WebKit. خواندن خارج از محدوده با اعتبار سنجی ورودی بهبود یافته مورد بررسی قرار گرفت. پردازش محتوای وب ممکن است اطلاعات حساسی را فاش کند. اپل از گزارشی آگاه است مبنی بر اینکه این موضوع ممکن است به طور فعال مورد سوء استفاده قرار گرفته باشد.
- CVE-2023-32373: WebKit. یک مشکل استفاده پس از استفاده رایگان با بهبود مدیریت حافظه برطرف شد. پردازش محتوای وب که به طور مخرب ساخته شده است ممکن است منجر به اجرای کد دلخواه شود. اپل از گزارشی آگاه است مبنی بر اینکه این موضوع ممکن است به طور فعال مورد سوء استفاده قرار گرفته باشد.
به طور کلی، وقتی دو روز صفر از این نوع به طور همزمان در WebKit نشان داده می شود، شرط خوبی است که آنها توسط مجرمان برای ایجاد یک حمله تصاحب دو مرحله ای ترکیب شده اند.
اشکالاتی که با بازنویسی داده هایی که نباید لمس شوند، حافظه را خراب می کنند (مثلاً CVE-2023-32373) همیشه بد هستند، اما سیستم عامل های مدرن شامل بسیاری از حفاظت های زمان اجرا هستند که هدف آنها جلوگیری از سوء استفاده از چنین اشکالاتی برای کنترل برنامه باگ است.
به عنوان مثال، اگر سیستم عامل به طور تصادفی انتخاب کند که برنامهها و دادهها کجا به حافظه ختم میشوند، مجرمان سایبری اغلب نمیتوانند کاری بیشتر از خراب کردن برنامه آسیبپذیر انجام دهند، زیرا نمیتوانند پیشبینی کنند که کد مورد حمله چگونه در حافظه قرار میگیرد. .
اما با اطلاعات دقیق در مورد اینکه کجاست، یک سوء استفاده خام و «تصادفی» گاهی اوقات میتواند به یک سوءاستفاده «خرابی و کنترل» تبدیل شود: چیزی که با نام خود توصیفی شناخته میشود. اجرای کد از راه دور سوراخ
البته، اشکالاتی که به مهاجمان اجازه میدهند از مکانهای حافظه بخوانند که قرار نیست (مثلاً CVE-2023-28204) نه تنها مستقیماً منجر به نشت دادهها و سوء استفادههای سرقت اطلاعات شوند، بلکه به طور غیرمستقیم منجر به «خراش و نگهداری» شوند. کنترل»، با افشای اسرار در مورد چیدمان حافظه در داخل یک برنامه و آسانتر کردن کنترل آن.
جالب است که سومین روز صفر در آخرین بهروزرسانیها وصله شده است، اما ظاهراً این مورد در «پاسخ امنیتی سریع» برطرف نشده است.
- CVE-2023-32409: WebKit. این موضوع با بررسی های بهبود یافته کرانه ها حل شد. یک مهاجم از راه دور ممکن است بتواند از جعبه ایمنی محتوای وب خارج شود. اپل از گزارشی آگاه است مبنی بر اینکه این موضوع ممکن است به طور فعال مورد سوء استفاده قرار گرفته باشد.
همانطور که میتوانید تصور کنید، ترکیب این سه روز صفر برابر است با یک بازی خانگی برای یک مهاجم: اولین باگ اسرار مورد نیاز برای بهرهبرداری مطمئن از باگ دوم را آشکار میکند، و باگ دوم اجازه میدهد تا کد برای بهرهبرداری از اشکال سوم کاشته شود. …
در این مرحله، مهاجم نه تنها "باغ دیواری" صفحه وب فعلی شما را تصرف کرده است، بلکه کنترل کل مرورگر شما یا بدتر از آن را به دست گرفته است.
چه کاری انجام دهید؟
مطمئن شوید که پچ شده اید! (رفتن به تنظیمات > سوالات عمومی > به روز رسانی نرم افزار.)
حتی دستگاههایی که قبلاً در آغاز مارس 2023 پاسخ امنیتی سریع دریافت کردهاند، هنوز یک روز صفر دارند که باید وصله شوند.
و همه پلتفرمها اصلاحات امنیتی بسیاری را برای باگهایی دریافت کردهاند که میتوانند برای حملات مورد سوء استفاده قرار گیرند، مانند: دور زدن اولویتهای حریم خصوصی. دسترسی به داده های خصوصی از صفحه قفل؛ خواندن اطلاعات مکان شما بدون اجازه؛ جاسوسی از ترافیک شبکه از دیگر برنامه ها؛ و بیشتر.
پس از به روز رسانی، باید شماره نسخه های زیر را مشاهده کنید:
- watchOS: اکنون در نسخه 9.5
- tvOS: اکنون در نسخه 16.5
- iOS 15 و iPadOS 15: اکنون در نسخه 15.7.6
- iOS 16 و iPadOS 16: اکنون در نسخه 16.5
- macOS Big Sur: اکنون در 11.7.7
- macOS Monterey: اکنون در 12.6.6
- macOS Ventura: اکنون در 13.4
نکته مهم: اگر macOS Big Sur یا macOS Monterey دارید، این وصلههای WebKit بسیار مهم همراه با بهروزرسانی نسخه سیستم عامل نیستند، اما در یک بسته بهروزرسانی جداگانه به نام ارائه میشوند. صفری 16.5.
از آن لذت ببرید!
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 1
- ٪۱۰۰
- 2023
- 7
- a
- قادر
- درباره ما
- مطلق
- کاملا
- دسترسی
- اقدامات
- فعال کردن
- فعالانه
- هدف
- معرفی
- اجازه می دهد تا
- قبلا
- همچنین
- همیشه
- an
- و
- هر
- هر کس
- هر جا
- نرم افزار
- فروشگاه نرم افزار
- اپل
- برنامه های کاربردی
- برنامه های
- هستند
- AS
- At
- حمله
- هجوم بردن
- حمله
- سمعی
- نویسنده
- خودکار
- بطور خودکار
- در دسترس
- مطلع
- تصویر پس زمینه
- بد
- BE
- زیرا
- بوده
- قبل از
- بودن
- شرط
- بزرگ
- مرز
- پایین
- شکستن
- تاول زدن
- مرورگر
- مرورگرهای
- اشکال
- اشکالات
- بسته بندی شده
- اما
- by
- نام
- CAN
- مرکز
- چک
- کروم
- کروم
- رمز
- رنگ
- ترکیب شده
- ترکیب
- شرکت
- اجزاء
- سازش
- در نظر گرفته
- محتوا
- کنترل
- تبدیل
- هسته
- میتوانست
- دوره
- پوشش
- سقوط
- ایجاد
- جنایتکاران
- بحرانی
- خام
- جاری
- در حال حاضر
- مجرمان سایبری
- امنیت سایبری
- خطرناک
- تاریک
- داده ها
- نشت اطلاعات
- مقدار
- شرح
- دستگاه
- دستگاه ها
- DID
- دیجیتال
- مستقیما
- افشای
- نمایش دادن
- do
- نمی کند
- عمل
- دانلود
- e
- آسان تر
- لبه
- پایان
- موتور
- تمام
- معادل
- هر
- مثال
- اعدام
- انتظار
- بهره برداری
- سوء استفاده قرار گیرد
- سوء استفاده
- پرونده
- فایل ها
- سرانجام
- نام خانوادگی
- ثابت
- به دنبال
- پیروی
- برای
- یافت
- از جانب
- Go
- رفتن
- خوب
- دولت
- آیا
- داشتن
- قلب
- ارتفاع
- سوراخ
- صفحه اصلی
- در تردید بودن
- چگونه
- HTTPS
- if
- تصویر
- تصاویر
- تصور کنید
- ضمنی
- بهبود یافته
- in
- شامل
- به طور غیر مستقیم
- اطلاعات
- ورودی
- نصب کردن
- از قصد
- تعامل
- منافع
- اینترنت
- به
- معرفی
- اپل
- iPadOS
- آیفون
- موضوع
- IT
- ITS
- جاوا اسکریپت
- تنها
- کلید
- شناخته شده
- آخرین
- آخرین به روز رسانی
- طرح
- رهبری
- ترک کرد
- زندگی
- پسندیدن
- محل
- مکان
- MacOS در
- ساخت
- نرم افزارهای مخرب
- مدیریت
- بسیاری
- مارس
- حاشیه
- حداکثر عرض
- ممکن است..
- حافظه
- صرفا - فقط
- موبایل
- دستگاه های تلفن همراه
- مدرن
- بیش
- بسیار
- نام
- ضروری
- شبکه
- ترافیک شبکه
- جدید
- خوب
- نه
- طبیعی
- اکنون
- عدد
- تعداد
- of
- غالبا
- on
- ONE
- فقط
- عملیاتی
- سیستم عامل
- سیستم های عامل
- or
- دیگر
- در غیر این صورت
- خارج
- روی
- صاحبان
- بسته
- با ما
- کلمه عبور
- وصله
- پچ های
- پل
- مردم
- مردم
- انجام
- شاید
- اجازه
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازی
- پادکست
- نقطه
- موقعیت
- پست ها
- بالقوه
- دقیق
- پیش بینی
- تنظیمات
- آماده
- ارائه شده
- خلوت
- خصوصی
- روند
- در حال پردازش
- محصولات
- برنامه
- برنامه ها
- فشار
- قرار دادن
- سریع
- خواندن
- مطالعه
- دلیل
- اخذ شده
- دور
- تفسیر
- گزارش
- گزارش
- درخواست
- نیاز
- پاسخ
- پاسخ
- آشکار
- فاش می کند
- راست
- خطر
- دویدن
- سیاحت اکتشافی در افریقا
- امن
- همان
- گودال ماسهبازی
- دوم
- ثانیه
- راز
- تیم امنیت لاتاری
- دیدن
- فروشندگان
- حساس
- جداگانه
- خدمات
- چند
- چندین باگ
- باید
- نشان
- نشان داده شده
- So
- نرم افزار
- جامد
- چیزی
- منبع
- صحبت کردن
- خرج کردن
- جاسوسی
- نرم افزارهای جاسوسی
- شروع
- هنوز
- به سرقت رفته
- توقف
- opbevare
- ذخیره شده
- استراتژیک
- چنین
- عرضه شده است
- پشتیبانی
- مفروض
- SVG
- سیستم
- سیستم های
- گرفتن
- تصاحب
- طول می کشد
- نسبت به
- که
- La
- سرقت
- شان
- آنها
- سپس
- اینها
- آنها
- سوم
- این
- کسانی که
- سه
- از طریق
- زمان
- به
- بالا
- لمس کرد
- ترافیک
- انتقال
- شفاف
- تبدیل
- دو
- به طور معمول
- بروزرسانی
- به روز رسانی
- به روز رسانی
- URL
- استفاده کنید
- پس از استفاده رایگان
- استفاده
- کاربران
- اعتبار سنجی
- نسخه
- بسیار
- تصویری
- فیلم های
- بازدید
- آسیب پذیر
- بود
- ساعت
- مسیر..
- we
- وب
- وب کم
- وب کیت
- سایت اینترنتی
- هفته
- هفته
- خوب
- بود
- چی
- چه زمانی
- که
- اراده
- با
- بدون
- بدتر
- بدترین
- خواهد بود
- شما
- شما
- زفیرنت