WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Apple vá các lỗ hổng trong macOS, watchOS và tvOS
Tuần này Apple đã phát hành bản cập nhật an ninh cho macOS, watchOS, tvOS, và các phiên bản được cập nhật của trình duyệt Safari và ứng dụng iTunes cho Windows.
Apple đã vá 22 lỗ hổng thông qua việc phát hành MacOS High Sierra 10.13.2.
Các sản phẩm bị ảnh hưởng bao gồm apache, curl, Directory Utility, Intel Graphics Driver, IOAcceleratorFamily, IOKit, Kernel, Mail, Mail Draughts, OpenSSL và Screen Sharing Server. Kernel bị ảnh hưởng nhiều nhất với 8 lỗi được cập nhật bản vá.
Nhiều lỗi có thể bị khai thác để các hacker hoặc các ứng dụng chứa mã độc thực thi mã tùy ý bằng quyền kernel hoặc quyền hệ thống. Tuy nhiên, các lỗ hổng khác có thể dẫn đến việc rò rỉ bộ nhớ tiến trình, vượt qua xác thực quản trị viên và tắt hệ thống.
Theo khuyến cáo của Apple, ảnh hưởng đến macOS High Sierra 10.13.1, lỗ hổng trong Mail có thể dẫn đến một email bị mã hóa S/MIME được gửi đi mà không được mã hóa nếu chứng chỉ S/MIME của người nhận không được cài đặt.
Tổng cộng có 9 lỗ hổng đã được vá với việc phát hành watchOS 4.2. Có một lỗi ảnh hưởng đến IOSurface, một lỗi khác ảnh hưởng đến Wi-Fi, trong khi 7 lỗi còn lại tồn tại trong Kernel. Hầu hết các lỗi có thể dẫn đến một ứng dụng thực thi mã tùy ý với quyền kernel hoặc đọc bộ nhớ bị giới hạn.
Ảnh hưởng đến Apple Watch (Thế hệ thứ nhất) và Apple Watch Series 3, lỗi Wi-Fi cho phép kẻ tấn công trong phạm vi Wi-Fi buộc các client WPA multicast /GTK phải sử dụng lại nonce.
Lỗi này đã được Apple xử lý trong hầu hết các sản phẩm của hãng vào cuối tháng 10.
Được phát hành vào thứ hai, tvOS 11.2 cập nhật 10 lỗ hổng: một trong IOSurface, một trong Wi-Fi và 8 trong Kernel. Về cơ bản, bản cập nhật này sửa 9 lỗi với watchOS 4.2, và một lỗi trong Kernel.
10 lỗ hổng bảo mật này, cùng với 4 lỗ hổng khác (một trong IOKit, một trong IOMobileFrameBuffer, một trong Mail, và một trong Mail Drafts) cũng đã được vá trên iOS thông qua việc phát hành iOS 11.2 vào ngày 2/12.
Apple đã vá 22 lỗ hổng thông qua việc phát hành MacOS High Sierra 10.13.2.
Các sản phẩm bị ảnh hưởng bao gồm apache, curl, Directory Utility, Intel Graphics Driver, IOAcceleratorFamily, IOKit, Kernel, Mail, Mail Draughts, OpenSSL và Screen Sharing Server. Kernel bị ảnh hưởng nhiều nhất với 8 lỗi được cập nhật bản vá.
Nhiều lỗi có thể bị khai thác để các hacker hoặc các ứng dụng chứa mã độc thực thi mã tùy ý bằng quyền kernel hoặc quyền hệ thống. Tuy nhiên, các lỗ hổng khác có thể dẫn đến việc rò rỉ bộ nhớ tiến trình, vượt qua xác thực quản trị viên và tắt hệ thống.
Theo khuyến cáo của Apple, ảnh hưởng đến macOS High Sierra 10.13.1, lỗ hổng trong Mail có thể dẫn đến một email bị mã hóa S/MIME được gửi đi mà không được mã hóa nếu chứng chỉ S/MIME của người nhận không được cài đặt.
Tổng cộng có 9 lỗ hổng đã được vá với việc phát hành watchOS 4.2. Có một lỗi ảnh hưởng đến IOSurface, một lỗi khác ảnh hưởng đến Wi-Fi, trong khi 7 lỗi còn lại tồn tại trong Kernel. Hầu hết các lỗi có thể dẫn đến một ứng dụng thực thi mã tùy ý với quyền kernel hoặc đọc bộ nhớ bị giới hạn.
Ảnh hưởng đến Apple Watch (Thế hệ thứ nhất) và Apple Watch Series 3, lỗi Wi-Fi cho phép kẻ tấn công trong phạm vi Wi-Fi buộc các client WPA multicast /GTK phải sử dụng lại nonce.
Lỗi này đã được Apple xử lý trong hầu hết các sản phẩm của hãng vào cuối tháng 10.
Được phát hành vào thứ hai, tvOS 11.2 cập nhật 10 lỗ hổng: một trong IOSurface, một trong Wi-Fi và 8 trong Kernel. Về cơ bản, bản cập nhật này sửa 9 lỗi với watchOS 4.2, và một lỗi trong Kernel.
10 lỗ hổng bảo mật này, cùng với 4 lỗ hổng khác (một trong IOKit, một trong IOMobileFrameBuffer, một trong Mail, và một trong Mail Drafts) cũng đã được vá trên iOS thông qua việc phát hành iOS 11.2 vào ngày 2/12.
Theo Securityweek