Apple更新了iOS和iPadOS操作系統(tǒng)，修復iPhone、iPad和iPod設備中的多個漏洞。其中最嚴重的可能允許攻擊者利用一個權限提升漏洞攻擊任意設備，最終執(zhí)行任意代碼。

Apple周三發(fā)布了其iOS14和iPadOS 14安全修改日志，作為其中的組成部分，公開了這些漏洞。

Apple在產(chǎn)品和AppleAVD，Apple Keyboard，WebKit和Siri等組件中共計修復了11個漏洞。

Apple沒有對其安全漏洞進行評級，但是根據(jù)對這些CVE漏洞的描述，該廠商修復了一系列令人擔憂的漏洞。例如，可從物理位置上訪問iPhone的攻擊者可利用該Siri漏洞從鎖屏查看通知內容。另一個漏洞涉及惡意構造的3D Pixar文件，攻擊者可利用該漏洞在特定型號的iOS設備上執(zhí)行任意代碼。

高危提權漏洞CVE-2020-9992

根據(jù)IBM X-Force的研究人員的說法，Apple修復的最嚴重的一個漏洞是一個影響Apple iOS和iPadOS（13.7及之前版本）的提權漏洞。該漏洞編號為CVE-2020-9992。攻擊者可通過誘使目標用戶打開特殊構造的文件來利用該漏洞。

根據(jù)該漏洞的安全公告內容，“在網(wǎng)絡上的調試會話過程中，攻擊者可利用該漏洞在已配對的設備上執(zhí)行任意代碼。”

該漏洞存在于一個未明確的電子集成驅動器（IDE）組件中，這些組件是用于將數(shù)據(jù)從設備主板（或電路板）傳遞到設備存儲組件的接口。

Apple在安全更新中表示，已通過加密運行iOS 14，iPadOS14，tvOS 14和watchOS 7的設備在網(wǎng)絡上的通信，修復了該漏洞。

研究人員Dany Lisiansky和Nikias Bassen因發(fā)現(xiàn)該漏洞得到了致謝。在其安全公告中，Apple還就GoogleProject Zero的BrandonAzad的協(xié)助向其表示感謝。Apple和研究人員都拒絕披露該漏洞的更多詳情。

X-Force在一份漏洞報告中將該漏洞評為高危，并披露了CVE-2020-9992的更多詳情。研究人員表示該漏洞涉及Apple的開發(fā)人員工具包Xcode。Apple將Xcode描述為“一個用于為Mac，iPhone，iPad，Apple Watch和Apple TV創(chuàng)建應用程序的全面的開發(fā)人員工具包。”

X-Force的研究人員寫道，“IDE設備支持組件中存在一個錯誤，Apple Xcode可能允許遠程經(jīng)身份認證的攻擊者在系統(tǒng)上執(zhí)行任意代碼。通過誘使受害者打開特殊構造的文件，在網(wǎng)絡上的調試會話過程中，攻擊者可利用該漏洞在已配對的設備上執(zhí)行任意代碼?！?/p>

該漏洞影響Apple Xcode 11.7版本。研究人員表示，該組件存在于Apple的macOS Mojave 10.15.4版本，10.15.5版本和10.15.6版本。X-Force表示該攻擊并不復雜，具有‘低’權限的攻擊者輕易可利用該漏洞。

Apple已發(fā)布Xcode 12.0版本修復了該漏洞。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/