OS X ,iOS的安全更新修复了严重错误的存储桶

苹果已经发布了针对的安全更新 苹果浏览器 , OS X 优胜美地 (以及以前的OS X版本)和iOS。

OS X 更新包含针对77个漏洞的修复程序,攻击者可以利用其中的许多漏洞获得管理员或root特权,崩溃应用程序,对系统执行未经身份验证的访问,执行任意代码,拦截网络流量等等。

它还包括针对Mac EFI(可扩展固件接口)中漏洞的修复程序,其中之一可以允许具有root特权的恶意应用程序从睡眠状态恢复时修改EFI闪存。

SentinelOne研究人员PedroVilaça于一个月前公开披露了暂停/恢复漏洞的存在,他的研究基于研究员Trammell Hudson,Xeno Kovah和Corey Kallenberg的先前发现。您可以在此找到有关它的更多详细信息 博客文章 .

“尽管(我认为)它对现实世界的影响很小,但它仍然是一个严重的漏洞,” Vilaça notes. The Mac EFI更新 (包括在OS X更新中)填补了这个漏洞。

的iOS 安全更新包含大量漏洞的修复程序,这些漏洞仅通过使用户打开或操作系统处理恶意制作的PDF,文本,字体或.tiff文件,即可导致应用程序意外终止或任意代码执行。

此外,还插入了coreTLS中的Logjam错误,该漏洞可被具有特权网络位置的攻击者利用进行SSL / TLS连接,FireEye研究人员发现了两个漏洞,这些漏洞可能允许攻击者部署两种新的Masque攻击并防止iOS和Watch应用程序启动。

“我们称这些漏洞为“ Manifest Masque”和“ Extension Masque”,可用于拆除应用程序,包括系统应用程序(例如Apple Watch,Health,Pay等),并破坏应用程序数据容器,” the researchers 解释 在一篇博客文章中,他们还详细介绍了一个先前已修复但尚未公开的面具化漏洞,该漏洞绕过了iOS授权实施并劫持了VPN流量。

研究人员称,约有三分之一的iOS设备仍处于最后一个缺陷,因为其所有者尚未将其操作系统更新到版本8.1.3或更高版本。

分享这个