Apple закрыла 223 уязвимости в macOS, iOS и Safari



На этой неделе Apple выпустила новые патчи для ряда своих программных продуктов, включая macOS, iOS, watchOS, tvOS, а также браузер Safari. Со слов разработчика, из двух с лишним сотен устраненных уязвимостей более четверти, 40 в macOS и 30 в iOS, открывали возможность для выполнения произвольного кода, и в некоторых случаях – с root-привилегиями, пишет Threatpost.

«Львиная доля брешей, в совокупности 127, закрыта в выпуске macOS Sierra 10.12.4. Семь из них, в том числе шесть, позволяющих приложению исполнить произвольный код с привилегиями ядра, обнаружил участник Google Project Zero Иан Бир (Ian Beer). Еще две уязвимости, в ядре и в движке WebKit, были устранены стараниями «белого» хакера Чонхун Ли (JungHoon Lee) из Южной Кореи, известного коллегам по цеху как Lokihardt. В декабре прошлого года Ли, неизменный участник состязаний Pwn2Own, тоже присоединился к Project Zero.

Особого внимания заслуживает баг порчи памяти, вызванный некорректностью парсинга цифровых сертификатов. По словам обнаружившего его исследователя, Александра Николича (Aleksandar Nikolić) из Cisco, эксплойт в данном случае осуществляется с помощью специально созданного сертификата формата X.509 и позволяет удаленно исполнить код. Вредоносный сертификат можно отдать пользователю с сайта, в ходе соединения мейл-агента с почтовым сервером или через импорт в кейчейн.

Механизм проверки подлинности сертификатов присутствует и в macOS, и в iOS, так что соответствующий патч был выпущен для обоих продуктов. Исследователи установили наличие этой бреши в macOS 10.12.3 и iOS, 10.2.1, но подозревают, что уязвимыми могут оказаться и более ранние выпуски обеих ОС.

Как всегда, многие баги в macOS были устранены обновлением используемого ею софта с открытым исходным кодом. Так, апдейт анализатора пакетов tcpdump до версии 4.9.0 закрыл 44 уязвимости, переход на LibreSSL 2.4.25 и PHP 5.6.30 позволил избавиться от 11 брешей, OpenSSH 7.4 решил еще две проблемы.

Одна из уязвимостей, пропатченных в iOS, связана с обработкой мобильным Safari всплывающих диалоговых окон на сайтах. Эксперты Lookout Security обнаружили этот баг, расследуя случаи вымогательства: пользователи жаловались на потерю контроля над браузером после посещения сайта, причем,Safari завис на сообщении о якобы блокировке из-за просмотра запрещенного контента. Как оказалось, мошенники внедрили в страницы JavaScript-код, позволявший создавать всплывающее окно, которое отображается в Safari бесконечным циклом до тех пор, пока жертва не уплатит выкуп в виде подарочной карты iTunes (отправкой SMS с кодом карты на указанный номер).

В iOS была также произведена замена криптоалгоритма для компонента Profiles: Apple упразднила DES и ввела поддержку 3DES. Последний считается достаточно надежным для большинства нужд, хотя в некоторых системах вместо него уже используется AES. Что касается DES, то он давно признан слишком слабым, и NIST рекомендовал отказаться от него еще в 2005 году...»

Также по теме:

- Выпущены финальные версии macOS 10.12.4, tvOS 10.2 и watchOS 3.2
- iOS обновлена до версии 10.3
- Почему он выбрал macOS и отказался от Windows
- Касперский объяснил, почему хакеры редко атакуют устройства на macOS
Автор: Softodrom.ru
Дата: 30.03.2017


» Оставьте первым свой комментарий

Новости > Новости НеWindows > Apple закрыла 223 уязвимости в macOS, iOS и Safari
Все рубрики Новостей:
Топ-сегодня раздела Новости НеWindows
Поддержка Ubuntu Phone прекращена, Ubuntu Store закрывается
Это беспрецедентный случай, когда поддержка мобильной ОС прекращается в течение столь короткого времени после объявления о прекращении разработки
Microsoft призналась в любви к Linux
Сатья Наделла объявил, что Microsoft любит Linux, а Стив Баллмер рассказал о своей ссоре с Биллом Гейтсом
Выбор дистрибутива Linux
Обзор наиболее популярных дистрибутивов GNU/Linux
Пароли к резервным копиям iOS 10 можно подобрать в 2,5 тыс. раз быстрее, чем раньше
В механизме резервирования iOS 10 найдена серьезная уязвимость
Касперский показал первое устройство на KasperskyOS
Если кратко, то у этой операционки есть несколько особенностей
Новинки раздела Новости НеWindows
Поддержка Ubuntu Phone прекращена, Ubuntu Store закрывается
Это беспрецедентный случай, когда поддержка мобильной ОС прекращается в течение столь короткого времени после объявления о прекращении разработки
«Ростех» создал операционную систему «ОСь»
Отличительная черта операционной системы — возможность ее интеграции с ПО сторонних производителей, в частности, созданным для Windows
Состоялся релиз Ubuntu 17.04
Следующий релиз будет подготовлен разработчиками Ubuntu GNOME, а не Canonical
Появилась информация о дальнейшей судьбе Ubuntu
На данный момент остается открытым вопрос судьбы проектов, создававшихся и для Ubuntu, и для Debian одновременно
Apple закрыла 223 уязвимости в macOS, iOS и Safari
Из двух с лишним сотен устраненных уязвимостей более четверти открывали возможность для выполнения произвольного кода, в некоторых случаях – с root-привилегиями
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».