Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Вышел новый набор патчей для macOS, iOS, watchOS, tvOS, LLVM, а также iCloud и iTunes, работающих на Windows.
В минувший четверг компания Apple выпустила новый набор патчей для macOS, iOS, watchOS, tvOS, а также залатала фреймворк LLVM и приложения iCloud и iTunes, совместимые с Windows.
Обновления macOS High Sierra 10.13.4, Security Update 2018-002 Sierra и Security Update 2018-002 El Capitan устраняют 35 уязвимостей в десктопных ОС разработчика. Самые опасные из них позволяют приложению через нарушение целостности памяти выполнить произвольный код с высокими привилегиями.
Такой сценарий возможен, например, при использовании CVE-2018-4132 в графическом драйвере производства Intel, CVE-2018-4135 в компоненте IOFireWireFamily, CVE-2018-4139 в kext tools, а также CVE-2018-4143 и CVE-2018-4150 в ядре High Sierra 10.13.3. Аналогичный результат можно получить в случае эксплуатации CVE-2018-4136 и CVE-2018-4160, вызванных неадекватной проверкой границ буфера, выделенного в памяти, при выполнении операции чтения данных.
Из остальных уязвимостей примечательна CVE-2018-4174 в пользовательском интерфейсе приложения Mail: при наличии доступа к сети эта брешь открывает возможность для перехвата содержимого писем, зашифрованных в соответствии со стандартом S/MIME. Стоит также обратить внимание на уязвимость CVE-2018-4131 в WindowServer, позволяющую приложению, не имеющему на то прав, регистрировать нажатия клавиш при работе пользователя с другим приложением в режиме безопасного ввода.
Выпуск iOS 11.3 устраняет более 40 уязвимостей, затрагивающих iPhone 5s и выше, iPad Air и все последующие планшеты, а также iPod шестого поколения. Две из этих брешей — CVE-2018-4150 и CVE-2018-4143 — позволяют приложению выполнить произвольный код с привилегиями ядра. Уязвимость CVE-2018-4148 в компоненте Telephony и 16 багов порчи памяти в движке WebKit открывают возможность для удаленного выполнения вредоносного кода.
Особого упоминания заслуживает проблема CVE-2018-4172, обнаруженная в функциональности Find My iPhone. Причиной ее возникновения, по словам Apple, являлась некорректность проверки состояния при восстановлении данных из резервных копий. В итоге при наличии физического доступа к устройству злоумышленник (вор или просто недобросовестный человек, нашедший потерянный гаджет) мог отключить эту функцию без ввода пароля iCloud.
В Safari совокупно пропатчено 23 уязвимости; в основном это те же многочисленные бреши в WebKit, которые закрывает iOS 11.3. Кроме них, устранены два бага в пользовательском интерфейсе, позволяющие подменить адресную строку браузера, а также уязвимость в функциональности автозаполнения (CVE-2018-4137), открывшая возможность для кражи регистрационных данных с помощью вредоносного сайта.
В tvOS закрыто 28 брешей, включая 18 привязанных к WebKit, в watchOS — 22; половина из них тоже пришлась на долю многострадального движка.
Выпуск Xcode 9.3, устраняющий множественные уязвимости в LLVM, предназначен для macOS High Sierra 10.13.2 и выше. В iCloud для Windows закрыто 20 уязвимостей, как и в iTunes для Windows; девятнадцать из них — все те же баги в WebKit.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |