Лучшие приложения.
Лучшие приложения.
Лучшие приложения.
Лучшие приложения.

Apple закрыла 223 уязвимости в macOS, iOS и Safari





На этой неделе Apple выпустила новые патчи для ряда своих программных продуктов, включая macOS, iOS, watchOS, tvOS, а также браузер Safari. Со слов разработчика, из двух с лишним сотен устраненных уязвимостей более четверти, 40 в macOS и 30 в iOS, открывали возможность для выполнения произвольного кода, и в некоторых случаях – с root-привилегиями, пишет Threatpost.

«Львиная доля брешей, в совокупности 127, закрыта в выпуске macOS Sierra 10.12.4. Семь из них, в том числе шесть, позволяющих приложению исполнить произвольный код с привилегиями ядра, обнаружил участник Google Project Zero Иан Бир (Ian Beer). Еще две уязвимости, в ядре и в движке WebKit, были устранены стараниями «белого» хакера Чонхун Ли (JungHoon Lee) из Южной Кореи, известного коллегам по цеху как Lokihardt. В декабре прошлого года Ли, неизменный участник состязаний Pwn2Own, тоже присоединился к Project Zero.

Особого внимания заслуживает баг порчи памяти, вызванный некорректностью парсинга цифровых сертификатов. По словам обнаружившего его исследователя, Александра Николича (Aleksandar Nikolić) из Cisco, эксплойт в данном случае осуществляется с помощью специально созданного сертификата формата X.509 и позволяет удаленно исполнить код. Вредоносный сертификат можно отдать пользователю с сайта, в ходе соединения мейл-агента с почтовым сервером или через импорт в кейчейн.

Механизм проверки подлинности сертификатов присутствует и в macOS, и в iOS, так что соответствующий патч был выпущен для обоих продуктов. Исследователи установили наличие этой бреши в macOS 10.12.3 и iOS, 10.2.1, но подозревают, что уязвимыми могут оказаться и более ранние выпуски обеих ОС.

Как всегда, многие баги в macOS были устранены обновлением используемого ею софта с открытым исходным кодом. Так, апдейт анализатора пакетов tcpdump до версии 4.9.0 закрыл 44 уязвимости, переход на LibreSSL 2.4.25 и PHP 5.6.30 позволил избавиться от 11 брешей, OpenSSH 7.4 решил еще две проблемы.

Одна из уязвимостей, пропатченных в iOS, связана с обработкой мобильным Safari всплывающих диалоговых окон на сайтах. Эксперты Lookout Security обнаружили этот баг, расследуя случаи вымогательства: пользователи жаловались на потерю контроля над браузером после посещения сайта, причем,Safari завис на сообщении о якобы блокировке из-за просмотра запрещенного контента. Как оказалось, мошенники внедрили в страницы JavaScript-код, позволявший создавать всплывающее окно, которое отображается в Safari бесконечным циклом до тех пор, пока жертва не уплатит выкуп в виде подарочной карты iTunes (отправкой SMS с кодом карты на указанный номер).

В iOS была также произведена замена криптоалгоритма для компонента Profiles: Apple упразднила DES и ввела поддержку 3DES. Последний считается достаточно надежным для большинства нужд, хотя в некоторых системах вместо него уже используется AES. Что касается DES, то он давно признан слишком слабым, и NIST рекомендовал отказаться от него еще в 2005 году...»

Также по теме:

- Выпущены финальные версии macOS 10.12.4, tvOS 10.2 и watchOS 3.2
- iOS обновлена до версии 10.3
- Почему он выбрал macOS и отказался от Windows
- Касперский объяснил, почему хакеры редко атакуют устройства на macOS

Автор: Softodrom.ru
Дата:
Новые публикации: Новости НеWindows
01.05.2020 14:25

Разработчики Ubuntu вышли на самообеспечение

Компания Canonical, занимающаяся разработкой и поддержкой популярного Linux-дистрибутива Ubuntu, вышла на самообеспечение

11.04.2020 23:08

Выпущена ReactOS 0.4.13

ReactOS — операционная система, нацеленная на обеспечение совместимости с программами и драйверами Windows

10.01.2020 22:54

Линус Торвальдс раскритиковал файловую систему ZFS

Создатель Linux Линус Торвальдс призвал отказаться от использования файловой системы ZFS

08.12.2019 19:12

Уязвимая, но не Windows. В OpenBSD закрыли множественные уязвимости

Многоплатформенная ОС с открытым кодом OpenBSD обеспечивает работу многих элементов IT-инфраструктуры, которые требуют дополнительной защиты

16.11.2019 08:20

Впервые в мире газета полностью перешла на свободное ПО

В результате был создан собственный дистрибутив на базе Kubuntu, включающий в себя такие альтернативы проприетарному ПО как Scribus, Gimp, Inkscape, Krita и Shotwell

Популярные статьи: Новости НеWindows
03.06.2010 15:54

Создан альянс для продвижения платформы Linux

Создан альянс для продвижения устройств на базе платформы Linux, в который вошли IBM, Samsung, а также производители процессоров ARM и Texas Instruments

19.10.2011 05:15

Google представит новую версию Android 4.0

Одновременно Samsung анонсирует первый смартфон под ее управлением

30.08.2006 19:01

Спонсором LinuxWorld Russia стала ... Microsoft

Microsoft стала одним из спонсоров конференции LinuxWorld Russia, которая пройдет в Москве 4-5 сентября

28.03.2006 02:32

Microsoft открыла сайт для приема багов от пользователей IE 7.0

Инструкция по использованию сайта прилагается

23.06.2018 18:56

Вышел новый концепт безопасного домена для Linux

Спустя два года закрытого тестирования команда разработчиков Linux-дистрибутива TankOS готова представить новый концепт масштабируемого и безопасного домена для Linux

» Оставьте первым свой комментарий

Новости /
Новости НеWindows /
Apple закрыла 223 уязвимости в macOS, iOS и Safari
Все рубрики статей:

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика 
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».