Apple закрыла 223 уязвимости в macOS, iOS и Safari





На этой неделе Apple выпустила новые патчи для ряда своих программных продуктов, включая macOS, iOS, watchOS, tvOS, а также браузер Safari. Со слов разработчика, из двух с лишним сотен устраненных уязвимостей более четверти, 40 в macOS и 30 в iOS, открывали возможность для выполнения произвольного кода, и в некоторых случаях – с root-привилегиями, пишет Threatpost.

«Львиная доля брешей, в совокупности 127, закрыта в выпуске macOS Sierra 10.12.4. Семь из них, в том числе шесть, позволяющих приложению исполнить произвольный код с привилегиями ядра, обнаружил участник Google Project Zero Иан Бир (Ian Beer). Еще две уязвимости, в ядре и в движке WebKit, были устранены стараниями «белого» хакера Чонхун Ли (JungHoon Lee) из Южной Кореи, известного коллегам по цеху как Lokihardt. В декабре прошлого года Ли, неизменный участник состязаний Pwn2Own, тоже присоединился к Project Zero.

Особого внимания заслуживает баг порчи памяти, вызванный некорректностью парсинга цифровых сертификатов. По словам обнаружившего его исследователя, Александра Николича (Aleksandar Nikolić) из Cisco, эксплойт в данном случае осуществляется с помощью специально созданного сертификата формата X.509 и позволяет удаленно исполнить код. Вредоносный сертификат можно отдать пользователю с сайта, в ходе соединения мейл-агента с почтовым сервером или через импорт в кейчейн.

Механизм проверки подлинности сертификатов присутствует и в macOS, и в iOS, так что соответствующий патч был выпущен для обоих продуктов. Исследователи установили наличие этой бреши в macOS 10.12.3 и iOS, 10.2.1, но подозревают, что уязвимыми могут оказаться и более ранние выпуски обеих ОС.

Как всегда, многие баги в macOS были устранены обновлением используемого ею софта с открытым исходным кодом. Так, апдейт анализатора пакетов tcpdump до версии 4.9.0 закрыл 44 уязвимости, переход на LibreSSL 2.4.25 и PHP 5.6.30 позволил избавиться от 11 брешей, OpenSSH 7.4 решил еще две проблемы.

Одна из уязвимостей, пропатченных в iOS, связана с обработкой мобильным Safari всплывающих диалоговых окон на сайтах. Эксперты Lookout Security обнаружили этот баг, расследуя случаи вымогательства: пользователи жаловались на потерю контроля над браузером после посещения сайта, причем,Safari завис на сообщении о якобы блокировке из-за просмотра запрещенного контента. Как оказалось, мошенники внедрили в страницы JavaScript-код, позволявший создавать всплывающее окно, которое отображается в Safari бесконечным циклом до тех пор, пока жертва не уплатит выкуп в виде подарочной карты iTunes (отправкой SMS с кодом карты на указанный номер).

В iOS была также произведена замена криптоалгоритма для компонента Profiles: Apple упразднила DES и ввела поддержку 3DES. Последний считается достаточно надежным для большинства нужд, хотя в некоторых системах вместо него уже используется AES. Что касается DES, то он давно признан слишком слабым, и NIST рекомендовал отказаться от него еще в 2005 году...»

Также по теме:

- Выпущены финальные версии macOS 10.12.4, tvOS 10.2 и watchOS 3.2
- iOS обновлена до версии 10.3
- Почему он выбрал macOS и отказался от Windows
- Касперский объяснил, почему хакеры редко атакуют устройства на macOS
Автор: Softodrom.ru
Дата: 30.03.2017


» Оставьте первым свой комментарий


Новости > Новости НеWindows > Apple закрыла 223 уязвимости в macOS, iOS и Safari
Все рубрики Новостей:
Топ-сегодня раздела Новости НеWindows
Выпущен Linux-дистрибутив Solus 3, не основанный ни на чем
Основная среда рабочего стола — Budgie, дополнительно производятся сборки с Gnome-Shell и Mate
Доступен для загрузки GNOME 3.3.2 Dev.
Проект GNOME обьявил о доступности GNOME 3.3.2 с множеством улучшений и исправлений
Вышел Puppy Linux 6.3.0
Вышел очередной стабильный релиз Puppy Linux — Slacko 6.3.0
Доклад о мифах, правде и лжи про ядро Linux
Greg Kroah-Hartman, разработчик Linux из OSL, представил доклад, в котором постарался развеять основные домыслы и заблуждения, связанные с ядром Linux
Российский ответ Windows: Ivan OS от НИИ овцеводства и козоводства
Сейчас на российском рынке монопольное положение занимает ОС Windows, она имеет много уязвимостей, которые в эту операционную систему заложили спецслужбы США
Новинки раздела Новости НеWindows
Выпущен Linux-дистрибутив Solus 3, не основанный ни на чем
Основная среда рабочего стола — Budgie, дополнительно производятся сборки с Gnome-Shell и Mate
В Chrome OS 60 улучшили определение местоположения пользователя
Состоялся релиз Chrome OS 60 с нововведениями и улучшениями
Выпущена FreeBSD 11.1
Состоялся релиз операционной системы FreeBSD 11.1
Выпущены Debian GNU/Linux 9.1 «Stretch» ​​и Debian 8.9 «Jessie»
Debian Project объявил о выпуске Debian GNU/Linux 9.1 «Stretch» ​​и Debian 8.9 «Jessie»
Endless OS 3.2 вышла тихо и незаметно
Endless OS примечателен максимально простой схемой дистрибуции
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».