Apple修复iPhone、iPad和iPod中的安全漏洞
Apple更新了iOS和iPadOS操作系统,修复iPhone、iPad和iPod设备中的多个漏洞。其中最严重的可能允许攻击者利用一个权限提升漏洞攻击任意设备,最终执行任意代码。
Apple周三发布了其iOS14和iPadOS 14安全修改日志,作为其中的组成部分,公开了这些漏洞。
Apple在产品和AppleAVD,Apple Keyboard,WebKit和Siri等组件中共计修复了11个漏洞。
Apple没有对其安全漏洞进行评级,但是根据对这些CVE漏洞的描述,该厂商修复了一系列令人担忧的漏洞。例如,可从物理位置上访问iPhone的攻击者可利用该Siri漏洞从锁屏查看通知内容。另一个漏洞涉及恶意构造的3D Pixar文件,攻击者可利用该漏洞在特定型号的iOS设备上执行任意代码。
高危提权漏洞CVE-2020-9992
根据IBM X-Force的研究人员的说法,Apple修复的最严重的一个漏洞是一个影响Apple iOS和iPadOS(13.7及之前版本)的提权漏洞。该漏洞编号为CVE-2020-9992。攻击者可通过诱使目标用户打开特殊构造的文件来利用该漏洞。
根据该漏洞的安全公告内容,“在网络上的调试会话过程中,攻击者可利用该漏洞在已配对的设备上执行任意代码。”
该漏洞存在于一个未明确的电子集成驱动器(IDE)组件中,这些组件是用于将数据从设备主板(或电路板)传递到设备存储组件的接口。
Apple在安全更新中表示,已通过加密运行iOS 14,iPadOS14,tvOS 14和watchOS 7的设备在网络上的通信,修复了该漏洞。
研究人员Dany Lisiansky和Nikias Bassen因发现该漏洞得到了致谢。在其安全公告中,Apple还就GoogleProject Zero的BrandonAzad的协助向其表示感谢。Apple和研究人员都拒绝披露该漏洞的更多详情。
X-Force在一份漏洞报告中将该漏洞评为高危,并披露了CVE-2020-9992的更多详情。研究人员表示该漏洞涉及Apple的开发人员工具包Xcode。Apple将Xcode描述为“一个用于为Mac,iPhone,iPad,Apple Watch和Apple TV创建应用程序的全面的开发人员工具包。”
X-Force的研究人员写道,“IDE设备支持组件中存在一个错误,Apple Xcode可能允许远程经身份认证的攻击者在系统上执行任意代码。通过诱使受害者打开特殊构造的文件,在网络上的调试会话过程中,攻击者可利用该漏洞在已配对的设备上执行任意代码。”
该漏洞影响Apple Xcode 11.7版本。研究人员表示,该组件存在于Apple的macOS Mojave 10.15.4版本,10.15.5版本和10.15.6版本。X-Force表示该攻击并不复杂,具有‘低’权限的攻击者轻易可利用该漏洞。
Apple已发布Xcode 12.0版本修复了该漏洞。
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
随时掌握互联网精彩
- 1 习近平拉美之行的战略考量 7959805
- 2 王楚钦横扫张本智和夺冠 7989868
- 3 叶嘉莹逝世 享年100岁 7888415
- 4 特色文旅释放消费“新”热潮 7760015
- 5 东北局地的雪要下到“发紫” 7663689
- 6 张本智和被打服了:王楚钦全部比我好 7586637
- 7 又涨了!金价重回“8”字头 7449954
- 8 许昕喊话王楚钦:打他11-0 让他跳舞 7320562
- 9 “兔子警官”李语蔚升职为四级辅警 7259072
- 10 向佐直播穿火辣小香风 网友:要瞎了 7107588