امروز: دوشنبه، 28 خرداد 1397

به‌روزرسانی‌هایی که روز دوشنبه توسط اپل برای iOS، macOS، tvOS و watchOS منتشر شد یک آسیب‌پذیری را رفع کردند که هنگام نمایش رشته‌های خاصی از کاراکترهای زبان هندی، منجر به خرابی برنامه‌ها می‌شد.

 

به تازگی شخصی متوجه شد که نمایش یک رشته که به زبان تلوگوی هند نوشته شده منجر به خرابی بسیاری از برنامه‌ها در iOS و macOS می شود. ازجمله برنامه‌هایی که تحت تاثیر قرار گرفته‌اند برنامه‌های توییتر، فایرفاکس، کروم، سافاری، واتس‌اپ، Mail، Thunderbird، اینستاگرام، Slack و سایر برنامه‌ها هستند.

اپل پس از این‌که اخبار این اشکال در شبکه‌های رسانه‌ی اجتماعی انتشار یافت و از آن بهره‌برداری شد، از این مسأله مطلع شد. ظاهراً شخصی نشان داده که چگونه با تنظیم نام خود به صورت رشته‌ی مشکل‌ساز می‌تواند موجب خرابی برنامه‌ی Uber در گوشی‌ها شود.

 

جستجوی این رشته در هر مرورگر وبی در macOS بلافاصله منجر به خرابی برنامه‌ها می‌شود. تلاش برای ارسال و دریافت یک رایانامه با استفاده از Mail یا Thunderbird نیز تاثیر مشابهی دارد.

با وجود این‌که در ابتدا به نظر می‌رسید تنها یک رشته‌ی خاص به زبان تلوگو منجر به این خرابی می‌شود، کمی بعد متوجه شدند که یک رشته‌ی خاصی از کاراکترهای زبان بِنگالی هند نیز منجر به خرابی برنامه‌ها در iOS و macOS می‌شود. نظریه‌های متعددی درباره‌ی علت این خرابی وجود دارد.

اپل این آسیب‌پذیری را با شناسه‌ی CVE-۲۰۱۸-۴۱۲۴ ردیابی می‌کند و آن را به عنوان خرابی پشته هنگام پردازش یک رشته‌ی مخرب توصیف می‌کند. اپل گفت: «یک مسأله‌ی خرابی حافظه از طریق بهبود اعتبارسنجی ورودی رفع شد.»

این شرکت روز دوشنبه با انتشار به‌روزرسانی تکمیلی macOS High Sierra ۱۰.۱۳.۳، iOS ۱۱.۲.۶، watchOS ۴.۲.۳‌ و tvOS ۱۱.۲.۶ این آسیب‌پذیری را وصله کرد. watchOS و tvOS به خاطر این‌که مبتنی بر iOS هستند تحت تاثیر قرار گرفتند. آخرین به‌روزرسانی سامانه‌عامل هیچ آسیب‌پذیری دیگری را رفع نمی‌کند.


منبع: news.asis.io