Регистриране

Новини


Apple публикува спешни актуализации за iPhone и iPad, за да коригира нова уязвимост от тип Zero-Day



Apple в понеделник публикува актуализация на защитата за iOS и iPad, за да отстрани критична уязвимост, която според тях се експлоатира  свободно в интернет пространството, което я прави 17-ия пропуск на zero-day, който компанията е отстранила в своите продукти от началото на годината.

Слабостта, индентифицирана със CVE-2021-30883, се отнася до проблем с повреда на паметта в компонента "IOMobileFrameBuffer", който може да позволи на приложение да изпълни произволен код.

Техническите особености относно недостатъка и естеството на атаките все още не са налични, както и самоличността на участника в заплахата.  Производителят на iPhone заяви, че е решил проблема с подобрена обработка на паметта.

Изследователят по сигурността Саар Амар сподели допълнителни подробности и експлоатация на доказателство за концепцията (PoC), отбелязвайки, че „тази повърхност за атака е много интересна, защото е достъпна".

CVE-2021-30883 е и вторият zero-day, повлиял на IOMobileFrameBuffer, след като Apple се справи  с анонимно докладван проблем с повреда на паметта (CVE-2021-30807) през юли 2021 г. С последното поправяне компанията решава рекордните 17 zero-day.

  • CVE-2021-1782 (Kernel) - A malicious application may be able to elevate privileges
  • CVE-2021-1870 (WebKit) - A remote attacker may be able to cause arbitrary code execution
  • CVE-2021-1871 (WebKit) - A remote attacker may be able to cause arbitrary code execution
  • CVE-2021-1879 (WebKit) - Processing maliciously crafted web content may lead to universal cross-site scripting
  • CVE-2021-30657 (System Preferences) - A malicious application may bypass Gatekeeper checks
  • CVE-2021-30661 (WebKit Storage) - Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30663 (WebKit) - Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30665 (WebKit) - Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30666 (WebKit) - Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30713 (TCC framework) - A malicious application may be able to bypass Privacy preferences
  • CVE-2021-30761 (WebKit) - Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30762 (WebKit) - Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30807 (IOMobileFrameBuffer) - An application may be able to execute arbitrary code with kernel privileges
  • CVE-2021-30858 (WebKit) - Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30860 (CoreGraphics) - Processing a maliciously crafted PDF may lead to arbitrary code execution
  • CVE-2021-30869 (XNU) - A malicious application may be able to execute arbitrary code with kernel privileges

    За повече информация може да посетите следният интернет адрес:

    https://thehackernews.com/2021/10/apple-releases-urgent-iphone-and-ipad.html

12.10.2021 г.

НОВИ ВИРУСИ RSS
УЯЗВИМОСТИ RSS