نستخدم تطبيق Apple's Mail طوال اليوم ، كل يوم للتعامل مع البريد الإلكتروني الخاص بالعمل والشخصي ، بما في ذلك عدد كبير من التعليقات والأسئلة والأفكار المتعلقة بالمقالات وتقارير الأخطاء المطبعية واقتراحات البودكاست وغير ذلك الكثير.
(دعهم يأتون - نحصل على رسائل أكثر إيجابية ومفيدة بكثير نتلقى فيها المتصيدون ، ونحن نحب أن نبقيها على هذا النحو: tips@sophos.com كيف تصل إلينا.)
لطالما وجدنا أن تطبيق Mail هو عامل مفيد للغاية يناسبنا جيدًا: إنه ليس خياليًا بشكل خاص ؛ ليست مليئة بالميزات التي لا نستخدمها أبدًا ؛ انها بسيطة بصريا و (حتى الآن على أي حال) ، كان موثوقًا به بشدة.
ولكن يجب أن تكون هناك مشكلة خطيرة تختمر في أحدث إصدار من التطبيق ، لأن Apple فقط دفعت تصحيح أمان من خطأ واحد لنظام التشغيل iOS 16 ، مع أخذ رقم الإصدار إلى iOS 16.0.3 ، وإصلاح ثغرة أمنية خاصة بالبريد:
تم إدراج خطأ واحد فقط:
التأثير: قد تؤدي معالجة رسالة بريد إلكتروني متطفل إلى رفض الخدمة الوصف: تمت معالجة مشكلة التحقق من صحة الإدخال من خلال التحقق المحسّن من صحة الإدخال. CVE-2022-22658
نشرات "الخطأ الواحد"
في تجربتنا ، تعد نشرات الأمان "ذات الخطأ الواحد" من Apple ، أو على الأقل نشرات N-bug لـ N الصغيرة ، الاستثناء وليس القاعدة ، وغالبًا ما يبدو أنها تصل عندما يكون هناك خطر واضح وحاضر مثل عدم إمكانية كسر الحماية تسلسل الاستغلال أو الاستغلال على مدار اليوم.
ربما كان أفضل تحديث طارئ حديث من هذا النوع هو ملف إصلاح مضاعف يوم الصفر في أغسطس 2022 تم تصحيحه ضد هجوم ثنائي الأسطوانات يتكون من ثقب تنفيذ التعليمات البرمجية عن بُعد في WebKit (طريقة في) متبوعًا بفتحة تنفيذ التعليمات البرمجية المحلية في النواة نفسها (طريقة للاستيلاء بالكامل):
تم إدراج هذه الأخطاء رسميًا ليس فقط على أنها معروفة للغرباء ، ولكن أيضًا على أنها تتعرض لإساءة استخدام نشطة ، على الأرجح لزرع نوع من البرامج الضارة التي يمكن أن تبقي علامات تبويب على كل ما فعلته ، مثل التطفل على جميع بياناتك ، والتقاط لقطات شاشة سرية ، والاستماع إلى للمكالمات الهاتفية والتقاط الصور بالكاميرا.
بعد حوالي أسبوعين ، تراجعت شركة Apple عن مستوى تحديث غير متوقع بالنسبة لنظام التشغيل iOS 12 ، الإصدار القديم الذي افترض معظمنا أنه "برنامج مهجور" فعليًا ، حيث كان غائبًا بشكل واضح عن تحديثات الأمان الرسمية لشركة Apple لمدة عام تقريبًا قبل ذلك:
(على ما يبدو ، تأثر نظام التشغيل iOS 12 بخلل WebKit ، ولكن ليس بفتحة نواة المتابعة التي جعلت سلسلة الهجوم أسوأ بكثير على منتجات Apple الحديثة).
ومع ذلك ، هذه المرة ، لم يرد ذكر أن الخطأ مصحح في التحديث إلى iOS 16.0.3 تم الإبلاغ عنها من قبل أي شخص خارج Apple ، وإلا فإننا نتوقع رؤية الباحث المذكور اسمه في النشرة ، حتى لو كان فقط "باحث مجهول".
لا يوجد أيضًا ما يشير إلى أن الخطأ قد يكون معروفًا بالفعل للمهاجمين وبالتالي يتم استخدامه بالفعل للإيذاء أو ما هو أسوأ ...
... ولكن يبدو أن Apple مع ذلك تعتقد أنها ثغرة أمنية تستحق إصدار نشرة أمنية عنها.
لديك بريد ، بريد ، بريد ...
ما يسمى الحرمان من الخدمة (DoS) أو تحطم لي في الإرادة غالبًا ما يُنظر إلى الأخطاء على أنها ثقيلة في مشهد الثغرات الأمنية ، لأنها لا توفر بشكل عام مسارًا للمهاجمين لاسترداد البيانات التي لا يُفترض أن يروها ، أو للحصول على امتيازات الوصول التي لا ينبغي أن تكون لديهم ، أو لتشغيل تعليمات برمجية ضارة من اختيارهم.
ولكن يمكن أن يتحول أي خطأ في DoS سريعًا إلى مشكلة خطيرة ، خاصةً إذا استمر في الحدوث مرارًا وتكرارًا بمجرد تشغيله لأول مرة.
يمكن أن ينشأ هذا الموقف بسهولة في تطبيقات المراسلة إذا كان الوصول إلى رسالة مفخخة يؤدي ببساطة إلى تعطل التطبيق ، لأنك عادة ما تحتاج إلى استخدام التطبيق لحذف الرسالة المزعجة ...
... وإذا حدث التعطل بسرعة كافية ، فلن تحصل أبدًا على الوقت الكافي للنقر على أيقونة سلة المهملات أو لمسح الرسالة المسيئة قبل أن يتعطل التطبيق مرارًا وتكرارًا.
ظهرت العديد من القصص على مر السنين حول سيناريوهات "نص الموت" على iPhone من هذا النوع ، بما في ذلك:
بالطبع المشكلة الأخرى مع ما نشير إليه مازحا CRASH: GOTO CRASH تتمثل الأخطاء الموجودة في تطبيقات المراسلة في أن الأشخاص الآخرين يمكنهم اختيار وقت إرسال الرسائل إليك وما يجب وضعه في الرسالة ...
... وحتى إذا كنت تستخدم نوعًا من قواعد التصفية التلقائية في التطبيق لحظر الرسائل من مرسلين غير معروفين أو غير موثوق بهم ، سيحتاج التطبيق عادةً إلى معالجة رسائلك لتحديد الرسائل التي يجب التخلص منها.
(لاحظ أن تقرير الخطأ هذا يشير صراحة إلى حدوث عطل بسبب "معالجة رسالة بريد إلكتروني ضارة".)
لذلك قد يتعطل التطبيق على أي حال ، وقد يستمر في التعطل في كل مرة تتم إعادة تشغيله لأنه يحاول التعامل مع الرسائل التي لم يتمكن من التعامل معها في المرة الأخيرة.
ماذا ستفعلين.. إذًا؟
سواء تم تشغيل التحديثات التلقائية أم لا ، انتقل إلى الإعدادات > العلاجات العامة > للتحقق من (وإذا لزم الأمر ، لتثبيت) الإصلاح.
الإصدار الذي تريد رؤيته بعد التحديث هو iOS 16.0.3 او فيما بعد.
نظرًا لأن شركة Apple قد دفعت تصحيحًا أمنيًا لخلل DoS هذا وحده ، فإننا نخمن أن شيئًا ما قد يكون على المحك إذا تمكن المهاجم من اكتشاف هذا الخطأ.
على سبيل المثال ، يمكن أن ينتهي بك الأمر مع جهاز بالكاد صالح للاستخدام وتحتاج إلى مسحه بالكامل وإعادة تحميله لاستعادته إلى التشغيل الصحي ...
اعرف المزيد عن نقاط الضعف
انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.
- تفاح
- سلسلة كتلة
- عملة عبقرية
- تحطم الموت
- محافظ cryptocurrency
- cryptoexchange
- CVE-2022-22658
- الأمن الإلكتروني
- مجرمو الإنترنت
- الأمن السيبراني
- وزارة الأمن الداخلي
- محافظ رقمية
- جدار الحماية
- آيفون
- Kaspersky
- البرمجيات الخبيثة
- مكافي
- الأمن عارية
- NexBLOC
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- لعبة أفلاطون
- أفلاطون داتا
- بلاتوغمينغ
- VPN
- الضعف
- أمن الانترنت
- زفيرنت
![الموسم 3 الحلقة 122: توقف عن وصف كل خرق بأنه "متطور"! [صوت + نص]](https://platoaistream.net/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-360x174.png)
