قامت شركة Apple بإلغاء تصحيحاتها الأخيرة ، حيث أصلحت أكثر من 50 ثغرة أمنية مرخصة من CVE في مجموعة منتجاتها المدعومة.
النشرات الأمنية ذات الصلة وأرقام التحديث ومكان العثور عليها عبر الإنترنت هي كما يلي:
- أبل-SA-2022-07-20-1: iOS 15.6 و iPadOS 15.6 ، التفاصيل في HT213346
- أبل-SA-2022-07-20-2: ماك أو إس مونتيري 12.5 ، التفاصيل في HT213345
- أبل-SA-2022-07-20-3: macOS Big Sur 11.6.8 ، التفاصيل في HT213344
- أبل-SA-2022-07-20-4: تحديث الأمان 2022-005 كاتالينا ، التفاصيل في HT213343
- أبل-SA-2022-07-20-5: tvOS 15.6 ، التفاصيل في HT213342
- أبل-SA-2022-07-20-6: watchOS 8.7 ، التفاصيل في HT213340
- أبل-SA-2022-07-20-7: سفاري 15.6 ، التفاصيل في HT213341
كالعادة مع Apple ، يتم تجميع تصحيحات متصفح Safari في تحديثات أحدث إصدار من macOS (Monterey) ، وكذلك في تحديثات iOS و iPad OS.
لكن تحديثات الإصدارات الأقدم من macOS لا تتضمن Safari ، لذا فإن تحديث Safari المستقل (انظر HT213341 أعلاه) ينطبق بالتالي على مستخدمي إصدارات macOS السابقة (لا يزال كل من Big Sur و Catalina مدعومين رسميًا) ، والذين سيحتاجون إلى تنزيل وتثبيت تحديثين ، وليس واحدًا فقط.
يوم صفر فخري
بالمناسبة ، إذا كان لديك جهاز Mac بإصدار سابق من macOS ، لا تنسى ذلك التنزيل الثاني لـ Safari، لأنه مهم للغاية ، على الأقل بقدر ما يمكننا رؤيته.
ذلك لأن إحدى التصحيحات المتعلقة بالمتصفح في هذه الجولة من التحديثات تتعامل مع ثغرة أمنية في WebRTC (اتصالات الويب في الوقت الفعلي) معروف ك CVE-2022-2294...
... وإذا كان هذا الرقم يبدو مألوفًا ، فينبغي ، لأنه نفس الخطأ الذي كان ثابت كصفر يوم بواسطة Google في Chrome (ومن خلال Microsoft in Edge) منذ حوالي أسبوعين:
ومن المثير للاهتمام ، أن شركة Apple لم تعلن عن أي من نقاط الضعف في هذا الشهر على أنها "تم الإبلاغ عنها بأنها في البرية" ، أو "أخطاء يوم الصفر" ، على الرغم من التصحيح المذكور أعلاه الذي أطلق عليه Google ثقبًا ليوم الصفر.
سواء كان ذلك بسبب أن الخطأ ليس من السهل استغلاله في Safari ، أو ببساطة لأنه لم يتتبع أي شخص أي سلوك خاطئ خاص بـ Safari لهذا الخلل بعينه ، لا يمكننا إخبارك ، لكننا نتعامل معه على أنه "فخري" نتيجة لذلك "ضعف يوم الصفر" ، والترقيع بحماس.
ثقب Pwn2Own مغلق
يبدو أن شركة Apple قد أصلحت أيضًا الخطأ الذي وجده الباحث الألماني في الأمن السيبراني مانفريد بول في مسابقة Pwn2Own الأخيرة في كندا ، في مايو 2022.
أحدث بودكاست 🎧 استمع الآن! Firefox & Pwn2Own و Apple و 0-day… والرياضيات التي هزمت فيثاغورس.https://t.co/HDrZPQzlAQ pic.twitter.com/DxgdC8VM1j
- Naked Security (NakedSecurity) 20 مايو 2022
استغل مانفريد بول Firefox بخلل من مرحلتين أكسبته 100,000 دولار (50,000 دولار لكل جزء) ، ودخل إلى Safari أيضًا ، مقابل مكافأة إضافية قدرها 50,000 دولار.
في الواقع ، نشرت Mozilla إصلاحها لأخطاء Paul في غضون يومين لتلقي تقريره في Pwn2Own:
في المقابل ، استغرقت شركة Apple شهرين لتسليم التصحيح بعد Pwn2Own:
بكت
تأثير: قد تؤدي معالجة محتوى الويب الضار إلى تنفيذ تعليمات برمجية عشوائية
الوصف: تمت معالجة مشكلة الكتابة خارج الحدود من خلال التحقق المحسّن من صحة الإدخال.
CVE-2022-32792: Manfred Paul (_manfp) بالاشتراك مع Trend Micro Zero Day Initiative [Pwn2Own]
تذكر ، مع ذلك ، أن الإفصاح المسؤول هو جزء من مسابقة Pwn2Own ، مما يعني أن أي شخص يدعي جائزة ليس مطلوبًا منه فقط تسليم التفاصيل الكاملة لاستغلاله إلى البائع المتأثر ، ولكن أيضًا التزام الصمت بشأن الثغرة الأمنية حتى انتهاء التصحيح .
بعبارة أخرى ، على الرغم من أن وقت تسليم التصحيح الذي يستغرق يومين من Mozilla قد يكون جديرًا بالثناء ومثيرًا ، إلا أن استجابة Apple الأبطأ كثيرًا مقبولة.
تعمل تدفقات الفيديو المباشر التي ربما تكون قد شاهدتها من Pwn2Own على توضيح ما إذا كان هجوم كل منافس قد نجح ، بدلاً من الكشف عن أي معلومات حول كيفية عمل الهجوم بالفعل. كانت عروض الفيديو التي يستخدمها المتنافسون أمام الكاميرا ، حتى تتمكن من رؤية وجوه المنافسين والمحكمين ، ولكن ليس ما كانوا يكتبونه أو ينظرون إليه.
هجمات متعددة المراحل
كالعادة ، تشتمل الأخطاء العديدة التي تم تصحيحها بواسطة Apple في هذه التحديثات على نقاط ضعف يمكن ، من الناحية النظرية ، ربطها ببعضها البعض بواسطة مهاجمين مصممين.
خطأ مدرج بشرط ذلك "قد يكون التطبيق الذي يمتلك امتيازات الجذر قادرًا على تنفيذ تعليمات برمجية عشوائية بامتيازات kernel" لا يبدو مقلقًا بشكل رهيب في البداية.
بعد كل شيء ، إذا كان المهاجم لديه بالفعل صلاحيات جذرية ، فإنهم يتحكمون إلى حد كبير في جهاز الكمبيوتر الخاص بك على أي حال.
ولكن عندما تلاحظ وجود خطأ في مكان آخر في النظام مدرج مع التحذير من ذلك "قد يتمكن التطبيق من الحصول على امتيازات الجذر"، يمكنك أن ترى كيف يمكن أن تكون الثغرة الأمنية نقطة انطلاق ملائمة وغير مصرح بها للأول.
وعندما تلاحظ أيضًا وجود خطأ في عرض الصورة ، يتم وصفه على أنه "قد تؤدي معالجة ملف متطفل إلى تنفيذ تعليمات برمجية عشوائية"، يمكنك أن ترى بسرعة أن:
- يمكن أن تحتوي صفحة الويب المفخخة على صورة يطلق رمز غير موثوق به.
- هذا الرمز غير الموثوق به يمكن زرع تطبيق منخفض الامتياز.
- يمكن للتطبيق غير المرغوب فيه اكتساب قوى جذرية لنفسه.
- يمكن لتطبيق الجذر الآن حقن الكود المارق الخاص به في النواة.
بعبارة أخرى ، من الناحية النظرية على الأقل ، مجرد النظر إلى موقع ويب يبدو بريئًا ...
... قد يدفعك للانهيار في سلسلة من المتاعب ، تمامًا مثل القول المأثور الذي يقول ، "لعدم وجود مسمار قد فقدت الحذاء؛ لعدم وجود حذاء ضاع الحصان؛ لعدم وجود حصان ، ضاعت الرسالة. لعدم وجود رسالة ، خسرت المعركة ... كل ذلك من أجل الحاجة إلى مسمار حدوة حصان ".
ماذا ستفعلين.. إذًا؟
لهذا السبب ، كما هو الحال دائمًا ، نوصيك بالتصحيح مبكرًا ؛ التصحيح في كثير من الأحيان تصحيح كل شيء.
يُحسب لشركة Apple أن تصحيح كل شيء هو الوضع الافتراضي: لا يمكنك اختيار التصحيحات التي تريد نشرها وأيها ستترك "لوقت لاحق".
الاستثناء الوحيد لهذه القاعدة ، كما أشرنا أعلاه ، هو أنه بالنسبة إلى macOS Big Sur و macOS Catalina ، ستتلقى الجزء الأكبر من تحديثات نظام التشغيل في عملية تنزيل عملاقة واحدة ، تليها عملية تنزيل وتحديث منفصلة لتثبيت البرنامج. أحدث إصدار من Safari.
كل عادة:
- على جهاز iPhone أو iPad: الإعدادات > العلاجات العامة >
- على جهاز Mac: قائمة التفاح > حول هذا ماك > تحديث النظام…
- تفاح
- سلسلة كتلة
- عملة عبقرية
- محافظ cryptocurrency
- cryptoexchange
- الأمن الإلكتروني
- مجرمو الإنترنت
- الأمن السيبراني
- وزارة الأمن الداخلي
- محافظ رقمية
- جدار الحماية
- باد
- اي فون
- Kaspersky
- لجنة الهدنة العسكرية
- ماك
- البرمجيات الخبيثة
- مكافي
- الأمن عارية
- NexBLOC
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- لعبة أفلاطون
- أفلاطون داتا
- بلاتوغمينغ
- VPN
- الضعف
- أمن الانترنت
- زفيرنت
