Apple закрыла 223 уязвимости в macOS, iOS и Safari




На этой неделе Apple выпустила новые патчи для ряда своих программных продуктов, включая macOS, iOS, watchOS, tvOS, а также браузер Safari. Со слов разработчика, из двух с лишним сотен устраненных уязвимостей более четверти, 40 в macOS и 30 в iOS, открывали возможность для выполнения произвольного кода, и в некоторых случаях – с root-привилегиями, пишет Threatpost.

«Львиная доля брешей, в совокупности 127, закрыта в выпуске macOS Sierra 10.12.4. Семь из них, в том числе шесть, позволяющих приложению исполнить произвольный код с привилегиями ядра, обнаружил участник Google Project Zero Иан Бир (Ian Beer). Еще две уязвимости, в ядре и в движке WebKit, были устранены стараниями «белого» хакера Чонхун Ли (JungHoon Lee) из Южной Кореи, известного коллегам по цеху как Lokihardt. В декабре прошлого года Ли, неизменный участник состязаний Pwn2Own, тоже присоединился к Project Zero.

Особого внимания заслуживает баг порчи памяти, вызванный некорректностью парсинга цифровых сертификатов. По словам обнаружившего его исследователя, Александра Николича (Aleksandar Nikolić) из Cisco, эксплойт в данном случае осуществляется с помощью специально созданного сертификата формата X.509 и позволяет удаленно исполнить код. Вредоносный сертификат можно отдать пользователю с сайта, в ходе соединения мейл-агента с почтовым сервером или через импорт в кейчейн.

Механизм проверки подлинности сертификатов присутствует и в macOS, и в iOS, так что соответствующий патч был выпущен для обоих продуктов. Исследователи установили наличие этой бреши в macOS 10.12.3 и iOS, 10.2.1, но подозревают, что уязвимыми могут оказаться и более ранние выпуски обеих ОС.

Как всегда, многие баги в macOS были устранены обновлением используемого ею софта с открытым исходным кодом. Так, апдейт анализатора пакетов tcpdump до версии 4.9.0 закрыл 44 уязвимости, переход на LibreSSL 2.4.25 и PHP 5.6.30 позволил избавиться от 11 брешей, OpenSSH 7.4 решил еще две проблемы.

Одна из уязвимостей, пропатченных в iOS, связана с обработкой мобильным Safari всплывающих диалоговых окон на сайтах. Эксперты Lookout Security обнаружили этот баг, расследуя случаи вымогательства: пользователи жаловались на потерю контроля над браузером после посещения сайта, причем,Safari завис на сообщении о якобы блокировке из-за просмотра запрещенного контента. Как оказалось, мошенники внедрили в страницы JavaScript-код, позволявший создавать всплывающее окно, которое отображается в Safari бесконечным циклом до тех пор, пока жертва не уплатит выкуп в виде подарочной карты iTunes (отправкой SMS с кодом карты на указанный номер).

В iOS была также произведена замена криптоалгоритма для компонента Profiles: Apple упразднила DES и ввела поддержку 3DES. Последний считается достаточно надежным для большинства нужд, хотя в некоторых системах вместо него уже используется AES. Что касается DES, то он давно признан слишком слабым, и NIST рекомендовал отказаться от него еще в 2005 году...»

Также по теме:

- Выпущены финальные версии macOS 10.12.4, tvOS 10.2 и watchOS 3.2
- iOS обновлена до версии 10.3
- Почему он выбрал macOS и отказался от Windows
- Касперский объяснил, почему хакеры редко атакуют устройства на macOS

Автор: Softodrom.ru
Дата:
» Оставьте первым свой комментарий

Новости > Новости НеWindows > Apple закрыла 223 уязвимости в macOS, iOS и Safari
Все рубрики статей:
Топ-сегодня: Новости НеWindows
Lindows 4.0 на удивление хороша
После недели тестирования Lindows я был слегка удивлен тем, что мне понравилась эта операционная система
Ошибка в KDE сделала Linux-системы уязвимыми
В популярном программном обеспечении KDE (комплексный пакет ПО для Linux) обнаружена серьезная уязвимость
Разработчик Национальной программной платформы обанкротился
Компания «ПингВин Софтвер», выигравшая конкурс на создание прототипа Национальной программной платформы, подала в суд заявление о своем банкротстве
Microsoft разработала экспериментальную операционную систему
Microsoft выпустила прототип новой операционной системы под кодовым названием Barrelfish
Joomla - открытый проект, ответвившийся от Mamba
Группа разработчиков из проекта по созданию открытой CMS - Mambo - обнародовала собственную версию системы под названием Joomla
Новые статьи: Новости НеWindows
Ядро Linux защитят от пользовательских процессов
Разработчики Linux добавили в операционную систему модуль изоляции ядра, исключающий доступ к ключевым частям кода на пользовательском уровне
Выпущена ОС Debian 10
Разработчики операционной системы Debian объявили о релизе стабильной 10-й версии, получившей кодовое имя «Buster»
Российскую ОС Astra Linux поставят на смартфоны
В России поступят в продажу первые мобильные устройства на отечественной операционной системе Astra Linux
Российская ОС «Аврора» может сменить Android на смартфонах Huawei
Глава Минкомсвязи Константин Носков и исполнительный директор Huawei Го Пин обсуждали возможный переход смартфонов китайской компании на российскую операционную систему «Аврора»
Перевыполнен план по сбору пожертвований OpenBSD на 2019 год
Разработчики операционной системы OpenBSD перевыполнили план по сбору пожертвований на 2019 год

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика 
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».