استمع لاذاعتنا

في بعض أنظمة آبل.. اكتشاف ثغرات أمنية خطيرة والشركة تقوم بالتصحيح العاجل

مع إعلان شركة آبل لاكتشافها لثغرات أمنية خطيرة في بعض أنظمة التشغيل العائدة لها، قامت الشركة وبشكل عاجل بتصحيح ما تم اكتشافه من ثغرات في أنظمة التشغيل iOS و iPadOS و macOS و watchOS.

وتكمن العيوب في مكون FontParser والنواة، مما يسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية عن بُعد وتشغيل البرامج الضارة بامتيازات على مستوى النواة، وقد وجد أنه تم استغلال الثغرات الأمنية بنشاط وأثرت في أجهزة آيفون وآيباد وآيبود.

 

وقالت الشركة في تقرير استشاري أمني يصف العيوب الثلاثة:

آبل على علم بالتقارير التي تفيد بوجود استغلال لهذه المشكلة، دون إعطاء أي تفاصيل إضافية للسماح للغالبية العظمى من المستخدمين بتثبيت التحديثات.

وتتضمن قائمة الأجهزة المتأثرة iPhone 5s والإصدارات الأحدث و iPod touch من الجيل السادس والسابع و iPad Air 2 والإصدارات الأحدث و iPad mini 2 والإصدارات الأحدث و Apple Watch Series 1 والإصدارات الأحدث.

وتؤثر الثغرات في أجهزة آبل وأنظمتها الأخرى، ومن ضمنها:

  • أجهزة ماك العاملة بإصدارات macOS Catalina السابقة لإصدار macOS Catalina 10.15.7.
  • أجهزة آيباد العاملة بإصدارات iPadOS قبل iOS 14.2.
  • ساعات آبل الذكية العاملة بإصدارات watchOS السابقة لإصدار watchOS 7.1 و watchOS 6.2.9 و watchOS 5.3.9.
  • أجهزة Apple TV العاملة بإصدارات tvOS السابقة لإصدار tvOS 14.2.

وتتمثل إحدى نقاط الضعف في خطأ تنفيذ التعليمات البرمجية عن بُعد المسمى CVE-2020-27930، ويتم تشغيله من خلال مشكلة تلف الذاكرة عند معالجة خط تم إنشاؤه بشكل ضار عبر مكتبة FontParser.

وتتعلق الثغرة الثانية بنظام التشغيل iOS بمسألة تسرب لذاكرة النواة الذي تم تعقبه على أنه (CVE-2020-27950) وينتج عن مشكلة في تهيئة الذاكرة تسمح للتطبيقات الضارة بالوصول إلى ذاكرة النواة.

وتعتبر الثغرة الثالثة (CVE-2020-27932) التي تم استغلالها بشكل نشط بمثابة خطأ تصعيد امتياز النواة الناتج عن مشكلة تشويش النوع التي تجعل من الممكن للتطبيقات الضارة تنفيذ تعليمات برمجية عشوائية باستخدام امتيازات النواة.

وكان فريق البحث عن الأخطاء في شركة جوجل Project Zero قد اكتشف الثغرات الأمنية وأبلغ بها فريق أمان آبل.

وقال (شين هنتلي) Shane Huntley، مدير مجموعة تحليل التهديدات في جوجل: الاستغلال المستهدف للثغرات الأمنية مشابه لما تم الإبلاغ عنه حديثًا، ولا علاقة له بأي استهداف انتخابي.

    المصدر :
  • البوابة العربية للأخبار التقنية