×
iphone.jpg
Apple släppte igår iOS version 12.2 att, som aldrig förr, innehåller korrigeringar för ett stort antal säkerhetsrelaterade frågor, inklusive några som är rent ut sagt oroande.
Totalt, företag fast 51 säkerhetsbrister. Förmodligen den läskigaste säkerhet bugg, vid första anblicken, är CVE-2019-8566, en sårbarhet i Apples ReplayKit. Används av olika iOS-appar, detta är en komponent för inspelning och streaming audio-och video-feeds från en enhet.
Apple sade en bugg som fanns i denna del skulle ha tillåtit skadliga program att få tillgång till mikrofoner, utan indikation på att användaren, och att i smyg spela in eller spela upp i närheten samtal.
“Ett API fråga fanns i hanteringen av mikrofon data. Denna fråga togs upp med förbättrad validering,” sade Apple.
Kod via SMS länkar
En annan viktig fråga fast i den här versionen är den som påverkar iOS GeoServices, till att komponenten som ansvarar för att arbeta med geo-location data.
Apple sa att det lagas en bugg som rapporterats av en anonym forskare som upptäckte ut ett sätt att exekvera kod på iOS-enheter genom att skicka länkar i SMS-meddelanden. Om användaren klickade på dessa missbildade länkar, då angriparen skulle ha haft möjlighet att köra skadlig kod på enheten.
Sårbarheten (CVE-2019-8553) tillskrevs ett minne hantering av frågan och fixad i iOS 12.2. Minne för hantering av fel är inte ett problem för Apple ensam, och Microsoft sade tidigare i år att nästan 70 procent av alla säkerhetsrelaterade buggar det fläckar på årsbasis är minne hantering av frågor.
WebKit buggar i överflöd
Men GeoServices SMS länk bugg var inte den enda minne-relaterade buggen i iOS 12.2. Liknande minne korruption frågor som kan leda till exekvering av kod med förhöjda privilegier var också fast i IOKit SCSI-och energisparfunktioner komponenter.
WebKit, som är hjärtat av webbläsaren Safari, också drabbats av liknande minne korruption frågor som kan leda till skadlig kod.
Apple fast inte en, men 13 av dessa buggar –CVE-2019-8535, CVE-2019-6201, CVE-2019-8518, CVE-2019-8523, CVE-2019-8524, CVE-2019-8558, CVE-2019-8559, CVE-2019-8563, CVE-2019-8536, CVE-2019-8544, CVE-2019-7285, CVE-2019-8556, och CVE-2019-8506.
WebKit var i särklass den komponent som fått mest korrigeringar totalt. Förutom kod sårbarheter, Apple fixade också en universell cross-site scripting (XSS) fel som påverkade WebKit-motorn och arbetade på någon hemsida (CVE-2019-8551), tillsammans med en farlig sandlåda fly fråga (CVE-2019-8562) som kunde accepteras av skadlig kod för att fly från webbläsaren process och köra på de underliggande OS.
Dessutom, Denis Markov av Resonans Programvara som finns att skadliga webbplatser kan också få tillgång till en användares mikrofon utan en visuell indikator som visas (CVE-2019-6222).
KeySteal zero-day får en fix
Detta är bara en sammanfattning av de mest farliga säkerhet åtgärdade buggar i iOS och dess komponenter. En del buggar, som Safari och WebKit frågor, också påverka andra Apple-produkter där de också är inbäddade.
Förutom korrigeringar för iOS, Apple har även släppt uppdateringar för andra produkter, såsom macOS, tvOS, Safari, Xcode, iTunes och iCloud för Windows.
Lanseringen av iOS 12.2 på Apples glittrande händelse igår kan ha fångat allas ögon på grund av lanseringen av Apples Nyheter Plus och Apple Kort tjänster, men användarna skulle göra sig en större fördel om de uppdatera för att få iOS 12.2 säkerhet patchar istället.
Dessutom uppdatera mac os till den senaste 10.14.4 versionen kommer också att lapp KeySteal zero-day som blev offentlig i början av februari 2019, och som kan ge skadliga hot aktörer för att stjäla lösenord från macOS Nyckelring.
Nyckelringen är säkert igen 😉
Se https://t.co/g4WKlYeJAQ pic.twitter.com/DtjkNTJaSs— Linus Henze (@LinusHenze) Mars 25, 2019
Mer sårbarhet rapporter:
Google fixar Chrome ‘onda markören” bugg missbrukas av teknisk support bluff sitesFDA varning: Betygen i hjärtat implantat kan hacka från 20ft bort
Forskare finner 36 nya säkerhetsbrister i LTE protocolTesla bilen hacka på Pwn2Own contestZero-dag i WordPress SMTP-plugin missbrukas av två hacker groupsNokia firmware misstag skickade några användaruppgifter för att ChinaDJI åtgärdar säkerhetsproblem som gör att hackare spy på drönare CNETTop 10 appen sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Apple
Säkerhet-TV
Hantering Av Data
CXO
Datacenter