Apple对跨产品线的几十个漏洞打了补丁

点击标题下「蓝色微信名」可快速关注

本周Apple为其产品发布了一套新...

点击标题下「蓝色微信名」可快速关注

本周Apple为其产品发布了一套新的重要的安全更新，以修复macOS,iOS,watchOS，tvOS,Safari以及Windows系统上的iCloud 和iTunes中的漏洞。

新发布的macOS Sierra 10.12.3解决了组件中的11个漏洞，比如apach_mod_php,蓝牙，图像驱动器，帮助查看器,IOAudioFamily,内核，libarchive和Vim。大多数插件的问题是允许应用程序执行任意代码，其他一些的问题是允许恶意归档或者是web内容可以执行代码。其中一个bug就是允许应用程序确定内核内存的布局。

iOS 10.2.1于星期一发布，它解决了各组件的一共18个漏洞，其中包括自动解锁、联系人、内核、libarchive、WebKit和Wifi。WebKit是受影响最严重的组件，其中解决的缺陷不少于12个，大部分是由Google Projec Zero研究发现的。

这些漏洞影响iPhone 5及更高版本，iPad第四代及更高版本，iPod touch 第六代及更高版本。修补的漏洞包括当Apple Watch不在用户的手腕上时可能发生自动解锁现象，在处理恶意联系人列表时可能出现应用程序意外终止，具有内核权限的恶意代码任意执行，数据溢出，恶意网站弹出窗口，甚至有可能操纵一个激活锁定设备来打开home界面。

随着watchOS 3.1.3的发布，共有33个漏洞得到了解决，这些漏洞影响了几乎所有的Apple Watch模型。这些有问题的组件有，账户、音频、自动解锁、CoreFoundation、CoreGraphics、CoreMedia 播放、CoreText、磁盘映像、FontParser、ICU、ImageIO、IOHIDFamily、IOKit、内核、libarchiv、配置文件、安全、syslog和WebKit组件。

已解决的漏洞可以被任意代码利用执行，获取root权限，自动信任证书，造成拒绝服务，覆盖现有文件，造成系统意外终止，读取内核内存，远程泄露内存。还有一个问题就是当Apple Watch离开用户手腕的时候可能出现 Auto Unlock解锁现象。

发布的tvOS 10.1.1是为了解决内核、libarchive 和WebKit中的12个漏洞。这些漏洞对Apple TV（第四代）构成影响。可能会导致应用程序执行具有内核权限的任意代码，在解压一个恶意压缩包的时候执行任意代码，在处理恶意制作的web内容时溢出数据和执行任意代码。

Safari 10.1.3修复了不少于12个bug，现在可以从OS Y Yosemite v10.10.5,OS X EI Capitan v10.11.6和macOS Sierra 10.12.3下载。其中一个漏洞是地址栏欺骗，11个漏洞是在Webkit中发现的，并且可能导致数据溢出和任意代码执行。

一些Webkit漏洞也影响Windows下的iCloud 和iTunes,因此发布了Windows下的iCloud 6.1.1和iTunes 12.5.5。同样的四个漏洞影响着这两个应用程序，导致任意代码执行。

转载请注明精睿安全