قامت شركة آبل بتصحيح ثلاث أخطاء أمنية في نظام التشغيل iOS تم استغلالها بنشاط وأثّرت على أجهزة iPhone و iPad و iPod، معربة عن علمها بالتقارير الأمنية التي تفيد بوجود استغلال لهذه الثغرات.

تتضمن قائمة الأجهزة المتأثرة iPhone 6s والإصدارات الأحدث و iPod touch الجيل السابع و iPad Air 2 والإصدارات الأحدث و iPad mini 4 والإصدارات الأحدث. وقامت آبل بمعالجة هذه العيوب الأمنية في إصدار iOS 14.2، أحدث إصدار مستقر من نظام التشغيل المحمول.

 

أخطاء Kernel و FontParser

تتمثل إحدى نقاط الضعف في خطأ تنفيذ التعليمات البرمجية عن بُعد (RCE) الذي تم تعقبه باعتباره CVE-2020-27930 ويتم تشغيله بواسطة مشكلة تلف الذاكرة عند معالجة خط متطفل بواسطة مكتبة FontParser.

المشكلة الثانية في iOS هو تسرب لذاكرة kernel تم تتبعه على أنه CVE-2020-27950 وينتج عن مشكلة في تهيئة الذاكرة تسمح للتطبيقات الضارة بالوصول إلى ذاكرة kernel.

الخطأ الثالث الذي تم استغلاله بشكل نشط هو خطأ تصعيد امتياز kernel (CVE-2020-27932) الناتج عن مشكلة تشويش على الجهاز، يجعل من الممكن للتطبيقات الضارة تنفيذ تعليمات برمجية عشوائية باستخدام امتيازات kernel.

تجدر الإشارة إلى أن فريق البحث عن الأخطاء في Google هو الذي اكتشف هذه المشكلات الأمنية وأبلغ بها فريق أمان Apple.

 

أخطاء أمنية أخرى

تم اكتشاف ثغرات أمنية أخرى تم الكشف عنها أو تصحيحها خلال الأسبوعين الماضيين بواسطة باحثي Google Project Zero.

قامت Google بتصحيح اثنين من عيوب Chrome التي تم استغلالها بشكل نشط (CVE-2020-15999 في مكتبة عرض النص FreeType و CVE-2020-16009 في محرك WebAssembly و JavaScript).

ثالثًا (CVE-2020-16010) ناتج عن تجاوز سعة المخزن المؤقت في واجهة مستخدم Android تمت معالجته في Chrome لنظام Android 86.0.4240.185، والذي تم إصداره مؤخراً.

كما كشف باحثو Project Zero أيضاً عن زيادة الامتيازات (EoP) في Windows kernel التي تم استغلالها، مما أثر على جميع الإصدارات بين Windows 7 و Windows 10.

هذا ومن المنتظر أن تقدم شركة مايكروسوفت Microsoft تصحيحاً أمنياً لنظام التشغيل Windows  في 10 نوفمبر الجاري، خلال يوم الثلاثاء التصحيحي المعتمد لهذا الشهر.