天创培训:您身边的信息安全培训专家!
行业动态
苹果并非刀枪不入,近日发布补丁修复多个安全漏洞

  苹果并非刀枪不入,近日发布补丁修复多个安全漏洞

  当Windows用户都在担心操作系统遭受想哭勒索蠕虫劫持时, 苹果用户还在高枕无忧地认为恶意软件的攻击奈何不了他们。但实际并非如此,苹果产品也并非刀枪不入,一本电子书就能黑掉Mac、iPhone和iPad。

  周一,苹果为iOS、macOS、Safari、tvOS、iCloud、iTunes和watchOS发布软件更新,修复了共69个安全漏洞,其中很多漏洞都可被用于在受影响系统上执行远程代码。

  其中包含多个漏洞为pwn2own竞赛时,多家厂商参赛时使用的漏洞。

  苹果的iPhone、iPad和iPod Touch移动操作系统iOS 10.3.2解决了41个安全缺陷,其中23个缺陷存在于WebKit中,包括17个远程代码执行漏洞和5个跨站脚本漏洞。

  此外,iOS 10.3.2还解决了iOS版本的iBook中的两个漏洞 (CVE-2017-2497和CVE-2017-6981),该漏洞如被利用可导致通过电子书打开任意网站并以根权限执行恶意代码。

  iOS 10.3.2解决的问题还包括AVE视频编码中的一个内存损坏问题,它可导致恶意应用程序获取内核级别的权限;还解决了旨在处理不受信任证书的证书信任策略中的证书验证问题。

  苹果用户可将iOS设备连接到iTunes或直接下载安装iOS 10.3.2解决这些问题。

  El Capitan和Yosemite:macOS Sierra 10.12.5

  苹果的Mac操作系统macOS Sierra 10.12.5共解决了37个漏洞,包括iBook中可导致以根权限执行任意代码的几个漏洞以及另外一个能导致应用程序逃逸安全沙箱的问题。

  另外解决的问题还包括能窃取网络凭证的无线网络问题、因特尔和恩威迪亚 (Nvidia) 显卡驱动中的权限升级问题以及SOLite中的四个任意代码执行缺陷。

  Mac用户可通过苹果应用商店→更新路径下载更新,或者macOS Sierra用户将Sierra 10.12.5作为单独更新下载,OS X EI Captain用户可从此处下载,OS X Yosemite用户点此下载。

  苹果浏览器:Safari 10.1.1

  Safari 10.1.1解决了26个安全问题,其中23个存在于WebKit中;并且很多问题已在iOS 10.3.2中修复。其余的三个问题在Safari浏览器中修复。用户可手动下载Safari 10.1.1更新。

  苹果手表:watchOS 3.2.2

  苹果手表用户应该安装修复了12个安全漏洞的watchOS 3.2.2。攻击者可利用其中的四个漏洞在受影响设备中执行远程代码。苹果手表用户可将手表连接至充电器并在iPhone手机上打开苹果手表app→我的手表选项卡→通用→软件更新下载watchOS 3.2.2。

  苹果电视:tvOS 10.2.1

  苹果公司还发布了tvOS 10.2.1解决了23个问题,其中12个漏洞存在于WebKit引擎中,能让攻击者在目标设备上执行跨站脚本攻击和远程代码执行攻击。tvOS 10.2.1更新可直接从苹果电视上下载(设置→系统→更新软件)。

  Windows:iTunes 12.6.1和iCloud 6.2.1

  同时,苹果公司还为使用iTunes和iCloud的Windows用户发布了补丁。iTunes 12.6.1和iCloud 6.2.1都修复了Windows 7及之后版本中的一个远程代码执行漏洞。

  建议苹果用户尽快更新苹果产品和Safari的所有操作系统,以防遭受犯罪分子攻击。自动更新也可应用补丁。