首页 > 消费 > > 正文
2019-12-30 13:20:46

苹果修复了51个iOS安全漏洞 其中包括13个WebKit代码执行漏洞

导读 苹果昨天发布了iOS版本12 2,该版本从未像以前一样包含针对许多与安全相关的问题的修复程序,其中包括一些令人不安的问题。该公司总共修复

苹果昨天发布了iOS版本12.2,该版本从未像以前一样包含针对许多与安全相关的问题的修复程序,其中包括一些令人不安的问题。

该公司总共修复了51个安全漏洞。乍看起来最可怕的安全漏洞是CVE-2019-8566,它是Apple ReplayKit中的一个漏洞。这是各种iOS应用程序使用的组件,用于记录和流式传输设备中的音频和视频提要。

苹果公司表示,该组件中存在一个漏洞,该漏洞将允许恶意应用程序在不向用户指示的情况下访问麦克风,并秘密记录或流式传输附近的对话。

苹果公司说:“在处理麦克风数据时存在一个API问题。该问题已通过改进验证得到解决。”

通过短信链接执行代码

此版本中修复的另一个主要问题是影响iOS GeoServices的问题,iOS GeoServices是负责处理地理位置数据的组件。

苹果表示,它修补了一个匿名研究员报告的一个错误,该研究员发现了一种通过发送SMS消息中的链接在iOS设备上执行代码的方法。如果用户单击这些格式错误的链接,则攻击者将能够在设备上运行恶意代码。

该漏洞(CVE-2019-8553)归因于内存处理问题,并在iOS 12.2中进行了修补。内存处理错误并不是仅苹果一个问题,微软在今年早些时候表示,每年修补的所有安全漏洞中,有近70%与内存处理相关。

WEBKIT错误丰富

但是,GeoServices SMS链接错误并不是iOS 12.2中唯一修复的与内存相关的错误。IOKit SCSI和电源管理组件中还修复了类似的内存损坏问题,该问题也可能导致以更高的特权执行代码。

WebKit是Safari浏览器的心脏,它也遭受类似的内存损坏问题,可能导致恶意代码执行。

Apple修复了一个错误,但修复了13个错误-CVE-2019-8535,CVE-2019-6201,CVE-2019-8518,CVE-2019-8523,CVE-2019-8524,CVE-2019-8558,CVE- 2019-8559,CVE-2019-8563,CVE-2019-8536,CVE-2019-8544,CVE-2019-7285,CVE-2019-8556和CVE-2019-8506。

到目前为止,WebKit是整体上获得最多安全性修复的组件。除了代码执行漏洞外,Apple还修复了影响WebKit引擎并可以在任何网站上使用的通用跨站点脚本(XSS)安全漏洞(CVE-2019-8551),以及一个危险的沙箱逃逸问题(CVE-2019-8562)可能允许恶意代码从浏览器进程中逃脱并在底层操作系统上运行。

此外,Resonance Software的Denis Markov发现恶意网站也可能能够访问用户的麦克风而没有显示视觉指示器(CVE-2019-6222)。

KEYSTEAL零时差得到修复

这些只是iOS及其组件中修复的最危险的安全漏洞的摘要。诸如Safari和WebKit问题之类的一些错误也影响到嵌入了它们的其他Apple产品。

除了iOS的安全修复程序外,Apple还发布了其他产品的安全更新,例如macOS,tvOS,Safari,Xcode,iTunes和Windows iCloud。

昨天,在Apple盛大的活动中发布iOS 12.2可能已经引起了所有人的注意,因为发布了Apple News Plus和Apple Card服务,但是如果用户更新以获取iOS 12.2安全补丁,则将对自己产生更大的帮助。

此外,将macOS更新至最新的10.14.4版本还将修补KeySteal零日漏洞,该零日漏洞将于2019年2月开始公开,并且可以允许恶意威胁参与者从macOS钥匙链中窃取密码。