苹果修复iOS系统恶意JPEG利用漏洞

根据国外媒体的最新报道,苹果公司在美国当地时间星期一正式修复了iOS系统中的一个代码执行漏洞。据了解,攻击者或可利用一个精心制作的JPEG文件来利用这个漏洞进行攻击。

苹果

除此之外,苹果公司在周一还发布了针对macOS Sierra的第一轮更新。根据苹果公司的安全公告,此次更新修复了Safari、Apple Watch以及Apple TV中存在的多处漏洞,并且提高了macOS的稳定性。

就苹果公司此轮发布的更新补丁来看,有关Sierra和iOS 10.1的更新补丁数量占比是最高的【安全公告】。根据苹果公司以往的风格,苹果对于那些任意代码执行漏洞或者是某些可能会泄漏用户个人信息的漏洞一直都会守口如瓶。目前,我们也无法得知这两类漏洞的利用情况。

在苹果公司此次发布的修复补丁中,总共有十二个针对iPhone 5和第四代iPad(及其之后版本)的iOS 10.1更新。据了解,此次的补丁更新修复了iOS 10中的一个CoreGraphics漏洞(CVE-2016-4635),此前iPhone、iPad、以及iPod Touch都会受到这个漏洞的影响。除此之外,此次更新还修复了iOS系统中的一个内存崩溃问题。根据安全研究专家透露的信息,这个内存崩溃问题将允许攻击者通过一个精心制作的恶意JPEG文件来实现在目标设备中执行任意代码。

苹果公司的安全公告表明,这轮更新还修复了iPhone 5、第四代iPad、以及第六代iPod Touch中的一个FaceTime漏洞。在这个漏洞的帮助下,攻击者将可以通过中继呼叫来让FaceTime通话终止之后继续传输音频数据。

macOS Sierra

使用macOS系统的用户应该都知道,苹果刚刚向Sierra操作系统推送了macOS 10.12.1【安全公告】。此次更新修复了macOS系统中存在的大量安全漏洞,其中还包括三个严重的任意代码执行漏洞。需要注意的是,此次修复的这些漏洞早在今年9月21日苹果正式推送Sierra时就已经存在了。

在这三个高危漏洞中,有两个漏洞(CVE-2016-4667和CVE-2016-4674)与APP传输安全(ATP)功能有关。苹果公司在2016年的苹果开发者大会上正式发布了这个功能(iOS 9),这个功能要求所有的iOS应用都使用HTTPS链接来传输网络数据。苹果表示,他们目前也已经修复了Sierra系统中与ATP功能有关的内存崩溃问题。剩下的一个高危漏洞将允许攻击者获取用户所输入密码的密码长度。但苹果公司表示,他们已经通过移除Sierra的密码长度记录功能来修复了这个漏洞。

除了修复新版系统的漏洞之外,苹果此次还修复了OS X Yosemite v10.10.5和OS X EI Capitan v10.11.6中的安全漏洞。其中包括一个Nvidia显卡驱动漏洞(CVE-2016-4663),这个漏洞将允许攻击者对目标系统发动拒绝服务攻击。另一个漏洞(CVE-2016-4671)将允许攻击者通过一个恶意PDF文件来在目标系统中实现任意代码执行。

Apple Safari

Safari浏览器此次也接收到了两个更新补丁【安全公告】,包括一个任意代码执行漏洞和一个有可能泄漏用户隐私数据的安全漏洞,这两个漏洞都与“恶意构建的Web内容”有关。第一个漏洞(CVE-2016-4613)存在于Safari 10.0.1和WebKit之中,这个漏洞将有可能导致系统在处理恶意Web内容的时候泄漏用户的隐私数据。目前,苹果已经通过升级WebKit的状态管理机制来修复了这个漏洞。据了解,OS X Yosemite v10.10.5、OS X El Capitan v10.11.6、以及macOS Sierra 10.12都已修复了这个漏洞。

另外一个WebKit漏洞(CVE-2016-4666)与Safari中的多个内存崩溃问题有关,这个漏洞将允许攻击者通过构建恶意Web内容来在目标主机中实现任意代码执行。苹果公司目前已经修复了OS X Yosemite v10.10.5、OS X El Capitan v10.11.6、以及macOS Sierra 10.12中的这个漏洞。

Apple TV

除了上述这些更新补丁之外,苹果此次还为第四代Apple TV推送了11个安全更新【安全公告】。此次更新修复了一个“libxpc”漏洞(CVE-2016-4675),该漏洞同样是一个任意代码执行漏洞。除此之外,此次还修复了一个沙箱配置漏洞(CVE-2016-4664),这个漏洞将允许恶意应用获取用户相片目录的元数据。

苹果还警告称,Apple TV还存在一个代理凭证漏洞(CVE-2016-7579),这个漏洞将允许处于网络特权位置的攻击者获取到用户的敏感信息。虽然我们还不清楚这个漏洞的具体作用,但是根据苹果公司透露的信息,这个漏洞与“网络钓鱼”有关,目前苹果已经通过“移除代理密码验证提示”来修复了这个漏洞。

需要注意的是,安全研究专家还向苹果公司提交了一个CoreGraphics漏洞(CVE-2016-4673),这个漏洞将导致目标系统出现内存崩溃的情况。根据安全专家透露的信息,在这个漏洞的帮助下,攻击者可以通过构建恶意的JPEG文件来攻击第四代Apple TV,并在目标平台上执行任意代码。

Apple Watch

苹果公司此次还公布了8个与Apple Watch操作系统(watchOS 3.1)有关的漏洞【安全公告】,其中有三个漏洞将导致攻击者在Apple Watch上执行任意代码。需要注意的是,其中的一个漏洞(CVE-2016-4673)与CoreGraphics组件有关,而Apple TV和Apple Watch都含有这个组件。

苹果公司表示,他们还发现了一个Apple Watch系统启动漏洞(CVE-2016-4669)。据了解,这个漏洞不仅将会影响所有型号的Apple Watch,而且还允许攻击者在内核中执行任意代码。

其他更新

除了上述的安全更新之外,本次升级为 iPhone 7 Plus 用户正式带来了期待已久的“人像模式”,这一功能也是此前 iOS10.1几个测试版中的重点测试功能。人像模式可以为 iPhone 7 Plus 带来景深效果,通过对景深的运用,用户在拍摄人像的时候可以在保持面部清晰的同时,营造出模糊的背景效果。使用 iPhone 7 Plus 拍摄时,双摄像头系统会使用两个镜头和先进的机器学习技术,在保证主体清晰的同时,营造出失焦模糊的背景效果。除了人像模式外,苹果在本次更新中还带来了大量的新特性,感兴趣的用户可以参阅苹果发布的官方升级公告。

来源:安全客(http://m.bobao.360.cn/news/detail/3687.html)

上一篇:网络购物需谨慎 “闲鱼”与“咸鱼“仅一个链接的距离

下一篇:瑞星:未来中国信息安全趋势展望