آخرین اخبار
صفحه اصلی
اخبار

اختلافات بر سر سه آسیب‌پذیری iOS

تاریخ:
در: اخبار, امنیت سایبری
دیدگاهتان را بنویسید:
983 نمایش ها

کمیته رکن چهارم – هکرها در حال بهره‌جویی (Exploit) از سه آسیب‌پذیری روز-صفر در سیستم‌عامل iOS هستند اما هنوز سندی دال بر صحیح بودن آن نیافته است.

بیانیه Apple پس‌ازآن منتشر شد که در روز ۳ اردیبهشت یک شرکت امنیتی اقدام به انتشار گزارشی کرد که در آن به سه باگ امنیتی در برنامه پیش‌فرض Mail در iOS پرداخته‌شده بود.

بااین‌حال، Apple اعلام کرده که بر اساس جزییات به اشتراک گذاشته‌شده در گزارش به نتیجه‌گیری یکسانی مبنی بر سوءاستفاده قرار گرفتن این آسیب‌پذیری‌ها نرسیده است. مشروح بیانیه Apple به‌شرح زیر است:

“Apple تمامی گزارش‌های مرتبط با تهدیدات امنیتی را به جد موردبررسی قرار می‌دهد. ما به‌طور جامع گزارش را بررسی کرده و بر اساس اطلاعات فراهم‌شده نتیجه گرفته‌ایم که مباحث اعلام‌شده ریسکی فوری برای کاربران ما تلقی نمی‌شود. اگرچه محقق سه باگ را در Mail کشف کرده اما به‌تنهایی برای عبور از حفاظت‌های امنیتی لحاظ شده در iPhone و iPad کافی نبوده و ما هیچ سندی دال بر بهره‌جویی از آن‌ها بر ضد مشتریانمان نیافته‌ایم. این مباحث بالقوه به‌زودی در یک به‌روزرسانی نرم‌افزاری برطرف خواهند شد. ما برای مشارکتمان با محققان امنیتی در راستای امن نگاه‌داشتن کاربرانمان ارزش بسیاری قائل بوده و قدردان مساعدت این محقق خواهیم بود.”

تحقیق پژوهشگران و نتیجه‌گیری‌های آن‌ها مبنی بر بهره‌جویی عمومی از آسیب‌پذیری‌های مذکور با مخالفت برخی محققان در توییتر مواجه شده است.
تحقیق اصلی بر پایه این فرضیه انجام‌شده که به دلیل ایجاد لاگ‌های موسوم به Crash بهره‌جویی از این آسیب‌پذیری‌های در جریان است.

پژوهشگران وجود لاگ‌های Crash را این‌طور تفسیر کرده‌اند که نشانه‌ای از تلاش برای سوءاستفاده از باگ است.

به گفته آن‌ها بهره‌جویی ناموفق از آسیب‌پذیری‌های مذکور منجر به باقی ماندن یک ایمیل خالی و یک لاگ Crash بر روی دستگاه می‌شود. آن‌ها معتقدند که متعاقباً یا با بهره‌جویی موفق، مهاجم درنهایت اقدام به حذف ایمیل‌های خالی می‌کند تا از این طریق حمله را از دید کاربر پنهان نگاه دارد.

در مقابل، محققان امنیتی مخالف اشاره‌کرده‌اند که اگر با چنین دیدگاهی مهاجم اقدام به حذف ایمیل خالی کند به‌احتمال بسیار زیاد لاگ‌های Cash را نیز حذف خواهد کرد. این افراد متعقدند که وجود ایمیل‌های مشکل‌دار می‌تواند صرفاً ناشی از باگی بی‌خطر در برنامه بوده و برای اثبات مورد بهره‌جویی قرار گرفتن به شواهد بیشتری نیاز است.

شرکت کشف کننده آسیب‌پذیری در بیانیه‌ای اعلام کرده که به‌محض در دسترس عموم قرار گرفتن اصلاحیه جزییات بیشتری را ارائه خواهد کرد.
متن بیانیه آن‌ها به‌شرح زیر است:

“بر اساس داده‌های ما نمونه‌هایی از بهره‌جویی از این آسیب‌پذیری بر ضد تعداد محدودی از سازمان‌ها در سطح جهان مشاهده‌شده است. ما از Apple به سبب در دستور کار قرار دادن آماده‌سازی اصلاحیه سپاسگزاری کرده و مشتاقانه در انتظار به‌روزرسانی دستگاه‌هایمان به‌مجرد در دسترس قرار گرفتن آن هستیم. به‌محض انتشار اصلاحیه، اطلاعات بیشتر و نمونه اثبات‌گر (Proof-of-Concept) را ارائه خواهیم کرد.”

باید توجه داشت که وجود این باگ‌ها هیچ‌گاه از سوی Apple و جامعه امنیت موردتردید واقع نشده و آنچه محل اختلاف است صحت‌سنجی ادعای سوءاستفاده حال حاضر مهاجمان از این باگ‌هاست. لذا انجام به‌روزرسانی پس‌ازانتشار آن به کاربران سیستم‌عامل iOS توصیه می‌شود.

این باگ‌ها در نگارش بتای نسخه ۱۳,۴.۵سیستم‌عامل iOS ترمیم‌شده و انتظار می‌رود که نگارش نهایی نسخه مذکور نیز در هفته‌های پیش‌رو منتشر شود.

منبع: افتنا

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.