Apple закрыла 223 уязвимости в macOS, iOS и Safari





На этой неделе Apple выпустила новые патчи для ряда своих программных продуктов, включая macOS, iOS, watchOS, tvOS, а также браузер Safari. Со слов разработчика, из двух с лишним сотен устраненных уязвимостей более четверти, 40 в macOS и 30 в iOS, открывали возможность для выполнения произвольного кода, и в некоторых случаях – с root-привилегиями, пишет Threatpost.

«Львиная доля брешей, в совокупности 127, закрыта в выпуске macOS Sierra 10.12.4. Семь из них, в том числе шесть, позволяющих приложению исполнить произвольный код с привилегиями ядра, обнаружил участник Google Project Zero Иан Бир (Ian Beer). Еще две уязвимости, в ядре и в движке WebKit, были устранены стараниями «белого» хакера Чонхун Ли (JungHoon Lee) из Южной Кореи, известного коллегам по цеху как Lokihardt. В декабре прошлого года Ли, неизменный участник состязаний Pwn2Own, тоже присоединился к Project Zero.

Особого внимания заслуживает баг порчи памяти, вызванный некорректностью парсинга цифровых сертификатов. По словам обнаружившего его исследователя, Александра Николича (Aleksandar Nikolić) из Cisco, эксплойт в данном случае осуществляется с помощью специально созданного сертификата формата X.509 и позволяет удаленно исполнить код. Вредоносный сертификат можно отдать пользователю с сайта, в ходе соединения мейл-агента с почтовым сервером или через импорт в кейчейн.

Механизм проверки подлинности сертификатов присутствует и в macOS, и в iOS, так что соответствующий патч был выпущен для обоих продуктов. Исследователи установили наличие этой бреши в macOS 10.12.3 и iOS, 10.2.1, но подозревают, что уязвимыми могут оказаться и более ранние выпуски обеих ОС.

Как всегда, многие баги в macOS были устранены обновлением используемого ею софта с открытым исходным кодом. Так, апдейт анализатора пакетов tcpdump до версии 4.9.0 закрыл 44 уязвимости, переход на LibreSSL 2.4.25 и PHP 5.6.30 позволил избавиться от 11 брешей, OpenSSH 7.4 решил еще две проблемы.

Одна из уязвимостей, пропатченных в iOS, связана с обработкой мобильным Safari всплывающих диалоговых окон на сайтах. Эксперты Lookout Security обнаружили этот баг, расследуя случаи вымогательства: пользователи жаловались на потерю контроля над браузером после посещения сайта, причем,Safari завис на сообщении о якобы блокировке из-за просмотра запрещенного контента. Как оказалось, мошенники внедрили в страницы JavaScript-код, позволявший создавать всплывающее окно, которое отображается в Safari бесконечным циклом до тех пор, пока жертва не уплатит выкуп в виде подарочной карты iTunes (отправкой SMS с кодом карты на указанный номер).

В iOS была также произведена замена криптоалгоритма для компонента Profiles: Apple упразднила DES и ввела поддержку 3DES. Последний считается достаточно надежным для большинства нужд, хотя в некоторых системах вместо него уже используется AES. Что касается DES, то он давно признан слишком слабым, и NIST рекомендовал отказаться от него еще в 2005 году...»

Также по теме:

- Выпущены финальные версии macOS 10.12.4, tvOS 10.2 и watchOS 3.2
- iOS обновлена до версии 10.3
- Почему он выбрал macOS и отказался от Windows
- Касперский объяснил, почему хакеры редко атакуют устройства на macOS
Автор: Softodrom.ru
Дата: 30.03.2017


» Оставьте первым свой комментарий


Новости > Новости НеWindows > Apple закрыла 223 уязвимости в macOS, iOS и Safari
Все рубрики Новостей:
Топ-сегодня раздела Новости НеWindows
Выбор дистрибутива Linux
Обзор наиболее популярных дистрибутивов GNU/Linux
Анонсирована ОС Tizen 4.0
Компания Samsung анонсировала следующую значительную ветку Tizen, которая будет поставляться на смартфонах Samsung Z4
Российский ответ Windows: Ivan OS от НИИ овцеводства и козоводства
Сейчас на российском рынке монопольное положение занимает ОС Windows, она имеет много уязвимостей, которые в эту операционную систему заложили спецслужбы США
Выпущено обновление 10.6.8 для Mac OS X Snow Leopard
Apple выпустила обновление 10.6.8 для OS X Snow Leopard
Почему он выбрал macOS и отказался от Windows
То, что на Windows зачастую требует установки дополнительного софта, в macOS решается парой кликов
Новинки раздела Новости НеWindows
Выпущена Ubuntu 17.10
Состоялся релиз операционной системы Ubuntu 17.10 под кодовым названием «Artful Aardvark»
Выпущена операционная система DragonFly BSD 5.0
Версия 5.0 принесла первый загрузочный релиз HAMMER2 — файловую систему DragonFly нового поколения
В России создадут национальную операционную систему IoT
В результате должна быть создана «отечественная свободная ОС для использования во всех видах киберфизических систем, превосходящая зарубежные ОС по ключевым параметрам быстродействия, безопасности и отказоустойчивости»
В России появится собственная операционная система для самолетов
Новая операционная система для отечественного пассажирского самолета МС-21 позволит защититься от возможных санкций Запада
Выпущена ОС Tails 3.2
Tails — операционная система, созданная для обеспечения приватности и анонимности
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».