侵权投诉
订阅
纠错
加入自媒体

重磅消息!苹果春季发布会期间Apple iOS 12.2被爆存在51个安全漏洞,官方回应已修复

重磅消息!苹果春季发布会期间Apple iOS 12.2被爆存在51个安全漏洞,官方回应已修复

Apple在iOS 12.2中修复了一些非常严重的错误。

这也提出了一个问题,即Apple是否应该将其安全补丁计划与主要媒体事件联系起来。这不是“Patch Tuesday”,而是“Patch Keynote”。- Alex Stamos2019年3月25日在推特上表示。

重磅消息!苹果春季发布会期间Apple iOS 12.2被爆存在51个安全漏洞,官方回应已修复

最令人不安的漏洞之一是ReplayKit API漏洞(CVE-2019-8566),它允许恶意应用程序在未经用户授权或意识的情况下访问iPhone,iPad或iPod touch上的麦克风。

“在处理麦克风数据时存在API问题,”Apple在其安全更新中解释道。“通过改进验证解决了这个问题。”

苹果修复了一个与主题相关的FaceTime缺陷,这个缺陷使得一个不法分子强迫FaceTime接收者的电话接听电话,将苹果套件变成可能被窃听的管道。这个问题上个月得到解决。

重磅消息!苹果春季发布会期间Apple iOS 12.2被爆存在51个安全漏洞,官方回应已修复

相关问题影响WebKit(CVE-2019-6222),它是移动Safari的核心,允许网站潜在地访问iOS设备麦克风而不显示任何指示。单独的Safari错误(CVE-2019-8554)允许网站在未经同意的情况下访问设备传感器信息。

Digita Security的首席研究官兼Objective-See的创始人,安全研究员Patrick Wardle 表示,除了可以用来监视人们的Replay Kit漏洞外,还有一个值得注意的地理服务漏洞(CVE-2019)。 -8553)允许远程代码执行。

据Apple称,该漏洞可用于构建触发任意远程代码的恶意SMS链接。

“这些是先进的(民族国家)对手用来远程感染目标的漏洞类型,”沃德尔说道,他认为苹果的iOS平台规则不允许安全工具阻止或至少检测到这种攻击。

12.2更新还修复了远程攻击者可能用来使系统崩溃或内核内存损坏的iOS内核错误(CVE-2019-8527)。

同时,WebKit收到了多个绷带,以防止恶意制作的网页内容弄乱内存,以实现任意代码执行:CVE-2019-8536,CVE-2019-8544,CVE-2019-7285,CVE-2019-8556和CVE- 2019-8506。

“对我来说,最重要的是iOS永远都是一个可以破解的设备,”沃德尔说:“的确,它虽然很安全,但与任何计算系统的情况一样,它是可以攻击的。”

macOS Mojave 10.14.4也看到了它的bug补丁 - 有38个CVE。存在一些重大缺陷:AppleGraphicsControl kext遭受缓冲区溢出错误(CVE-2019-8555),该错误可能允许恶意应用程序以内核权限执行任意代码。此外,磁盘仲裁框架还存在一个逻辑问题(CVE-2019-8522),该问题允许在不提示的情况下卸载和重新安装加密卷。

桌面操作系统也与iOS共享一些错误。反馈助手允许恶意应用程序覆盖任意文件(CVE-2019-8521)。同时,XPC Services API允许覆盖文件(CVE-2019-8530)。iOS和macOS上的Siri都有一个漏洞,允许恶意应用程序在没有用户授权的情况下发起听写请求。并且macOS受到与iOS相同的内核错误(CVE-2019-8527)。


声明: 本网站所刊载信息,不代表OFweek观点。刊用本站稿件,务经书面授权。未经授权禁止转载、摘编、复制、翻译及建立镜像,违者将依法追究法律责任。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

物联网 猎头职位 更多
扫码关注公众号
OFweek物联网
获取更多精彩内容
文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号