خبر

آبل صححت 3 ثغرات أمنية جرى استغلالها بنشاط

صححت شركة آبل ثلاث ثغرات أمنية في أنظمة التشغيل iOS و iPadOS و macOS و watchOS تم استغلالها بنشاط وأثرت في أجهزة آيفون وآيباد وآيبود.

وتكمن العيوب في مكون FontParser والنواة، مما يسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية عن بُعد وتشغيل البرامج الضارة بامتيازات على مستوى النواة.

وقالت الشركة في تقرير استشاري أمني يصف العيوب الثلاثة: آبل على علم بالتقارير التي تفيد بوجود استغلال لهذه المشكلة، دون إعطاء أي تفاصيل إضافية للسماح للغالبية العظمى من المستخدمين بتثبيت التحديثات.

وتتضمن قائمة الأجهزة المتأثرة iPhone 5s والإصدارات الأحدث و iPod touch من الجيل السادس والسابع و iPad Air 2 والإصدارات الأحدث و iPad mini 2 والإصدارات الأحدث و Apple Watch Series 1 والإصدارات الأحدث.

وتؤثر الثغرات في أجهزة آبل وأنظمتها الأخرى، ومن ضمنها:

  • أجهزة ماك العاملة بإصدارات macOS Catalina السابقة لإصدار macOS Catalina 10.15.7.
  • أجهزة آيباد العاملة بإصدارات iPadOS قبل iOS 14.2.
  • ساعات آبل الذكية العاملة بإصدارات watchOS السابقة لإصدار watchOS 7.1 و watchOS 6.2.9 و watchOS 5.3.9.
  • أجهزة Apple TV العاملة بإصدارات tvOS السابقة لإصدار tvOS 14.2.

وتتمثل إحدى نقاط الضعف في خطأ تنفيذ التعليمات البرمجية عن بُعد المسمى CVE-2020-27930، ويتم تشغيله من خلال مشكلة تلف الذاكرة عند معالجة خط تم إنشاؤه بشكل ضار عبر مكتبة FontParser.

وتتعلق الثغرة الثانية بنظام التشغيل iOS بمسألة تسرب لذاكرة النواة الذي تم تعقبه على أنه (CVE-2020-27950) وينتج عن مشكلة في تهيئة الذاكرة تسمح للتطبيقات الضارة بالوصول إلى ذاكرة النواة.

وتعتبر الثغرة الثالثة (CVE-2020-27932) التي تم استغلالها بشكل نشط بمثابة خطأ تصعيد امتياز النواة الناتج عن مشكلة تشويش النوع التي تجعل من الممكن للتطبيقات الضارة تنفيذ تعليمات برمجية عشوائية باستخدام امتيازات النواة.

وكان فريق البحث عن الأخطاء في شركة جوجل Project Zero قد اكتشف الثغرات الأمنية وأبلغ بها فريق أمان آبل.

و (شين هنتلي) Shane Huntley، مدير مجموعة تحليل التهديدات في جوجل: الاستغلال المستهدف للثغرات الأمنية مشابه لما تم الإبلاغ عنه حديثًا، ولا علاقة له بأي استهداف انتخابي.

أخبار متعلقة :