速度打补丁!苹果刚刚修复多个严重漏洞
编译:360代码卫士团队
刚刚,苹果为核心产品如 iOS 12.1、Safari 12.0.1、iCloud (Windows 版本)、iTunes、watchOS 5.1、tvOS 12.1 和 MacOS 发布更新。这些安全更新针对的是很多代码执行、权限提升和信息泄露漏洞。因此,如果你是上述提到的产品的用户,那么应该要尽快打补丁了!
iOS 12.1 修复多个 FaceTime 漏洞
苹果发布 iOS 12.1,修复多个漏洞,其中四个修复方案和 FaceTime 漏洞相关。所有的这些漏洞均由谷歌 Project Zero 漏洞研究员 Natalie Silvanovich 发现,而且其中一个漏洞可以称得上“令人毛骨悚然”。
苹果在安全公告中指出,CVE-2018-4367 FaceTime 漏洞可导致远程攻击者利用一个远程代码执行漏洞呼叫 FaceTime 群聊天。想象一下手机开始随机向其他人拨打 FaceTime 通话的时刻?
目前 Silvanovich 尚未披露该漏洞的更多情况。另外三个漏洞是内存损坏问题可导致任意代码执行。
导致同网络其它设备崩溃
macOS Sierra和 High Sierra 更新还修复了一个可导致攻击者引发位于同样 WiFi网络上 macOS High Sierra 或 iOS 11 设备崩溃的漏洞。
这个漏洞是由 Kevin Backhouse 发现的,编号是 CVE-2018-4407。Backhouse在一篇博客文章中指出,该漏洞可靠通过向同一网络上易受攻击的设备发送恶意数据包的方式触发。更糟糕的是,该漏洞是核心网络代码的一部分,而且反病毒软件无法保护用户免受该攻击。
Backhouse 发表博客文章 (https://lgtm.com/blog/apple_xnu_icmp_error_CVE-2018-4407)指出,“这是一个存在于 XNU 操作系统内核网络代码中的堆缓冲溢出漏洞。iOS 和 macOS 都在使用 XNU 操作系统,这也是为何这两种设备都受影响的原因。要触发该漏洞,攻击者只需向目标设备的IP 地址发送恶意 IP 数据包。无需进行用户交互。攻击者只需要连接到和目标设备同样的网络中即可。例如,如果你正在某个咖啡店使用免费 WiFi服务,然后攻击者就能加入同样的网络并向你的设备发送恶意数据包(如果攻击者所在网络和你一样,那么他们很容易地通过 nmap 就发现你的设备的IP 地址)。更糟糕的是,这个漏洞位于网络数据的核心部分,反病毒软件根本无法保护你的安全:我已经在运行 McAfee® Endpoint Security for Mac 的 Mac 设备上测试了该漏洞,结果也一样。不管你设备上运行的是什么软件,即使你并未打开任何端口,这个恶意数据包也仍然会触发该漏洞。”
Backhouse 还在推特上发布了演示视频。
如下是苹果发布的其它安全更新:
名称和信息链接 | 适用于 | 发布日期 |
Safari 12.0.1 | macOS Sierra 10.12.6、macOS High Sierra 10.13.6 和 macOS Mojave 10.14 | 2018年10月30日 |
iCloud for Windows 7.8 | Windows 7 及后续版本 | 2018年10月30日 |
iTunes 12.9.1 | Windows 7 及后续版本 | 2018年10月30日 |
watchOS 5.1 | Apple Watch Series 1 及后续版本 | 2018年10月30日 |
iOS 12.1 | iPhone 5s 及后续版本、iPad Air 及后续版本和第6代iPod touch | 2018年10月30日 |
tvOS 12.1 | Apple TV 4K 和Apple TV (第4代) | 2018年10月30日 |
macOS Mojave 10.14.1, Security Update 2018-001 High Sierra, Security Update 2018-005 Sierra | macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14 | 2018年10月30日 |
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/apple-fixes-creepy-facetime-vulnerability-crash-bug-in-macos-and-more/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。