-
-
苹果更新49个补丁,盘古越狱使用的漏洞被修复
-
发表于: 2015-10-23 10:45 1798
-
新闻链接:http://www.freebuf.com/news/82642.html
新闻时间:2015-10-23
新闻正文:来自FreeBuf黑客与极客(FreeBuf.COM)
3个星期以前,苹果修复了核心产品中的漏洞,并发布了最新版本的OS X、 EI Captan系统。然而本周二又迎来了另外一波补丁,修复了大量OS X、iOS、Safari、 iTunes、watchOS(智能手表操作系统)中的漏洞。
盘古越狱使用的漏洞被修复
随着iOS系统的更新(iOS 9.1),苹果修复了两个漏洞,也就是中国盘古团队用来越狱苹果操作系统的两个漏洞。盘古团队的越狱工具是利用缓冲区溢出和内存崩溃漏洞来提升权限,并以内核权限执行任意代码。
漏洞修复是安全中的一个常用模式,苹果尽其最大的努力对iOS筑起了一道防御工事,但越狱者还是在防御工事中找到了一个突破口。
Synack 的研究部主任Patrick Wardle说道:“每更新一个版本的iOS系统,都会出现新的越狱方法。”尽管越狱已经变得很普遍了,但苹果方面来来回回的更新也会给越狱者带来一定得风险。
“无论如何,信任闭源越狱是有风险的,会将设备暴露在很多的iOS恶意程序中。而苹果方面也在努力的阻止越狱。”
iOS 9.1中更新的安全问题
1. 锁屏问题:有时锁屏状态下本不应该出现电话和信息通知,但有时却会出现通知;
2. 证书问题:在线证书状态协议(OCSP)客户端中存在安全漏洞,攻击者可以使已经吊销的证书继续有效;
3. 代码执行漏洞;
4. 内核问题:可导致拒绝服务;
OS X El Capitan v10.11.1中更新的安全问题
OS X El Capitan v10.11.1中更新了60个安全漏洞,其中16个可能会导致代码执行;3个可能会导致应用程序或者系统终止;2个会导致拒绝服务。
在iOS和OS X中,苹果公司还修复了一个cookie注入攻击问题,是几个学生在上个月的USENIX中提出的。由于苹果处理cookies时的一个缺陷,攻击者可以在HTTP会话中注入cookies,从而可以发动中间人攻击。
Safari和iTunes中的安全问题
iOS更新的比较全面,Safari的更新则相对比较狭隘。Safari方面修复了WebKit中的数个问题,大部分是内存崩溃漏洞,它们会导致任意代码执行。iTunes也更新了新版本,修复了数个安全漏洞,大部分会引发任意代码执行或者通过中间人攻击终止应用程序。
智能手表操作系统(watchOS)中的安全问题
苹果系统更新怎么能少了新产品——智能手表,WatchOS中修复了14个安全漏洞,目前最新的版本为v2.0.1。WatchOS中修复的某些漏洞已在iOS系统中修复了,不同的是WatchOS还修复了一个Apple Pay漏洞。当用户在付款时,可能会存在终端检索受到限制的问题。
上周苹果公司还修复了大量Keynote、Pages、Numbers和iWork中存在的安全问题,大部分都是内存崩溃和输入验证漏洞。
新闻时间:2015-10-23
新闻正文:来自FreeBuf黑客与极客(FreeBuf.COM)
3个星期以前,苹果修复了核心产品中的漏洞,并发布了最新版本的OS X、 EI Captan系统。然而本周二又迎来了另外一波补丁,修复了大量OS X、iOS、Safari、 iTunes、watchOS(智能手表操作系统)中的漏洞。
盘古越狱使用的漏洞被修复
随着iOS系统的更新(iOS 9.1),苹果修复了两个漏洞,也就是中国盘古团队用来越狱苹果操作系统的两个漏洞。盘古团队的越狱工具是利用缓冲区溢出和内存崩溃漏洞来提升权限,并以内核权限执行任意代码。
漏洞修复是安全中的一个常用模式,苹果尽其最大的努力对iOS筑起了一道防御工事,但越狱者还是在防御工事中找到了一个突破口。
Synack 的研究部主任Patrick Wardle说道:“每更新一个版本的iOS系统,都会出现新的越狱方法。”尽管越狱已经变得很普遍了,但苹果方面来来回回的更新也会给越狱者带来一定得风险。
“无论如何,信任闭源越狱是有风险的,会将设备暴露在很多的iOS恶意程序中。而苹果方面也在努力的阻止越狱。”
iOS 9.1中更新的安全问题
1. 锁屏问题:有时锁屏状态下本不应该出现电话和信息通知,但有时却会出现通知;
2. 证书问题:在线证书状态协议(OCSP)客户端中存在安全漏洞,攻击者可以使已经吊销的证书继续有效;
3. 代码执行漏洞;
4. 内核问题:可导致拒绝服务;
OS X El Capitan v10.11.1中更新的安全问题
OS X El Capitan v10.11.1中更新了60个安全漏洞,其中16个可能会导致代码执行;3个可能会导致应用程序或者系统终止;2个会导致拒绝服务。
在iOS和OS X中,苹果公司还修复了一个cookie注入攻击问题,是几个学生在上个月的USENIX中提出的。由于苹果处理cookies时的一个缺陷,攻击者可以在HTTP会话中注入cookies,从而可以发动中间人攻击。
Safari和iTunes中的安全问题
iOS更新的比较全面,Safari的更新则相对比较狭隘。Safari方面修复了WebKit中的数个问题,大部分是内存崩溃漏洞,它们会导致任意代码执行。iTunes也更新了新版本,修复了数个安全漏洞,大部分会引发任意代码执行或者通过中间人攻击终止应用程序。
智能手表操作系统(watchOS)中的安全问题
苹果系统更新怎么能少了新产品——智能手表,WatchOS中修复了14个安全漏洞,目前最新的版本为v2.0.1。WatchOS中修复的某些漏洞已在iOS系统中修复了,不同的是WatchOS还修复了一个Apple Pay漏洞。当用户在付款时,可能会存在终端检索受到限制的问题。
上周苹果公司还修复了大量Keynote、Pages、Numbers和iWork中存在的安全问题,大部分都是内存崩溃和输入验证漏洞。
赞赏
看原图
赞赏
雪币:
留言: