Софтодром   
Windows Программы для Windows
Linux Программы для Linux
Android Приложения для Android
iOS Приложения для iPhone

Новости  Форумы

Apple закрыла 223 уязвимости в macOS, iOS и Safari



Новости    Новости НеWindows




На этой неделе Apple выпустила новые патчи для ряда своих программных продуктов, включая macOS, iOS, watchOS, tvOS, а также браузер Safari. Со слов разработчика, из двух с лишним сотен устраненных уязвимостей более четверти, 40 в macOS и 30 в iOS, открывали возможность для выполнения произвольного кода, и в некоторых случаях – с root-привилегиями, пишет Threatpost.

«Львиная доля брешей, в совокупности 127, закрыта в выпуске macOS Sierra 10.12.4. Семь из них, в том числе шесть, позволяющих приложению исполнить произвольный код с привилегиями ядра, обнаружил участник Google Project Zero Иан Бир (Ian Beer). Еще две уязвимости, в ядре и в движке WebKit, были устранены стараниями «белого» хакера Чонхун Ли (JungHoon Lee) из Южной Кореи, известного коллегам по цеху как Lokihardt. В декабре прошлого года Ли, неизменный участник состязаний Pwn2Own, тоже присоединился к Project Zero.

Особого внимания заслуживает баг порчи памяти, вызванный некорректностью парсинга цифровых сертификатов. По словам обнаружившего его исследователя, Александра Николича (Aleksandar Nikolić) из Cisco, эксплойт в данном случае осуществляется с помощью специально созданного сертификата формата X.509 и позволяет удаленно исполнить код. Вредоносный сертификат можно отдать пользователю с сайта, в ходе соединения мейл-агента с почтовым сервером или через импорт в кейчейн.

Механизм проверки подлинности сертификатов присутствует и в macOS, и в iOS, так что соответствующий патч был выпущен для обоих продуктов. Исследователи установили наличие этой бреши в macOS 10.12.3 и iOS, 10.2.1, но подозревают, что уязвимыми могут оказаться и более ранние выпуски обеих ОС.

Как всегда, многие баги в macOS были устранены обновлением используемого ею софта с открытым исходным кодом. Так, апдейт анализатора пакетов tcpdump до версии 4.9.0 закрыл 44 уязвимости, переход на LibreSSL 2.4.25 и PHP 5.6.30 позволил избавиться от 11 брешей, OpenSSH 7.4 решил еще две проблемы.

Одна из уязвимостей, пропатченных в iOS, связана с обработкой мобильным Safari всплывающих диалоговых окон на сайтах. Эксперты Lookout Security обнаружили этот баг, расследуя случаи вымогательства: пользователи жаловались на потерю контроля над браузером после посещения сайта, причем,Safari завис на сообщении о якобы блокировке из-за просмотра запрещенного контента. Как оказалось, мошенники внедрили в страницы JavaScript-код, позволявший создавать всплывающее окно, которое отображается в Safari бесконечным циклом до тех пор, пока жертва не уплатит выкуп в виде подарочной карты iTunes (отправкой SMS с кодом карты на указанный номер).

В iOS была также произведена замена криптоалгоритма для компонента Profiles: Apple упразднила DES и ввела поддержку 3DES. Последний считается достаточно надежным для большинства нужд, хотя в некоторых системах вместо него уже используется AES. Что касается DES, то он давно признан слишком слабым, и NIST рекомендовал отказаться от него еще в 2005 году...»

Также по теме:

- Выпущены финальные версии macOS 10.12.4, tvOS 10.2 и watchOS 3.2
- iOS обновлена до версии 10.3
- Почему он выбрал macOS и отказался от Windows
- Касперский объяснил, почему хакеры редко атакуют устройства на macOS


Автор: Softodrom.ru
Дата:

11.04.2024 14:22

Доля Linux на десктопах продолжает держаться выше 4%

Впервые порог в 4% был преодолен в феврале, а в марте этот уровень удалось закрепить, но Windows продолжает уверенно лидировать с долей в 72%


09.04.2024 09:09

«Газпром» внедряет российскую «Ред ОС» вместо Windows

«Газпром» закупил 134 тыс. лицензий на операционную систему «Ред ОС» от российской компании «Ред cофт» для серверов и рабочих станций


16.12.2023 21:50

В реестр Минцифры включили Atol OS

Минцифры включило в отечественный реестр программного обеспечения первую российскую операционную систему, предназначенную для платежных кассовых терминалов


09.12.2023 10:31

Разработчики приложений для ОС «Аврора» объединились в Aurora Foundation

Разработчики приложений и устройств на российской мобильной операционной системе «Аврора» объединились в сообщество Aurora Foundation


27.10.2023 23:08

Выпущена операционная система Simply Linux 10.2

Российская компания «Базальт СПО» выпустила новую версию операционной системы Simply Linux


Популярное: Новости НеWindows
16.12.2023 21:50

В реестр Минцифры включили Atol OS

Минцифры включило в отечественный реестр программного обеспечения первую российскую операционную систему, предназначенную для платежных кассовых терминалов


09.12.2023 10:31

Разработчики приложений для ОС «Аврора» объединились в Aurora Foundation

Разработчики приложений и устройств на российской мобильной операционной системе «Аврора» объединились в сообщество Aurora Foundation


21.04.2023 03:07

Состоялся релиз Ubuntu 23.04

В число официальных редакций Ubuntu добавлена редакция с графическим окружением Cinnamon


16.05.2023 19:07

Выпущена анонимная операционная система Tails 5.13

Tails — операционная система, ориентированная на обеспечение приватности и анонимности пользователя. Известна тем, что использовалась Эдвардом Сноуденом при разоблачении программы PRISM


14.08.2023 11:18

Доработку российской ОС «Аврора» оценили в 300 млрд рублей

В Роскомнадзоре прошло совещание с российскими производителями смартфонов и разработчиками операционных систем



Ищете, где скачать бесплатные программы?

Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
Все рубрики статей (1612 / 130):


Программы для Windows | Приложения для Android | Приложения для iPhone | Программы для Linux
Статистика | Рейтинги | Авторам | Рассылки
Copyright © 1999-2024 Softodrom.ru
Реклама | О проекте | О перепечатках | Пользовательское соглашение | Политика конфиденциальности | Карта сайта