苹果已经修复了Safari的WebKit组件中的两个漏洞,宣布它了解到一份报告,称他们可能被积极利用。这两个漏洞都可能被恶意制作的web内容所滥用,从而导致任意代码执行:换句话说,这些漏洞允许恶意网站在未经您允许的情况下在您的手机上进行操作。

让其产品的用户知道正在积极开发出漏洞是苹果的一种新方法。它始终不愿在其安全公告中提供许多情况,并且只有最近开始添加有关漏洞是否在野外使用的信息。

WebKit.

WebKit是Safari,Mail,App Store以及MacOS,iOS和Linux上的许多其他应用程序使用的Web浏览器引擎。漏洞的WebKit版本提供:iPhone 5s,iPhone 6,iPhone 6 Plus,iPad Air,iPad Mini 2,iPad Mini 3和iPod Touch(第6代)。

这是9点th苹果今年积极利用零日补丁。其中7人与WebKit有关。一个是门卫旁路,另一个是TCC旁路。Gatekeeper旨在确保Mac上只运行受信任的软件,苹果的TCC保护旨在保护隐私。

CVEs

公共漏洞和暴露(CVE)数据库中列出了公开披露的计算机安全漏洞。据报告在野外被滥用的两个漏洞是:

这两个漏洞都是由匿名研究人员提交的。目前还不知道他们是否都是由同一位研究人员提交的。

内存损坏问题

当一个程序的内存被以一种程序员没有预料到的方式修改时,就会出现内存损坏错误。当被攻击者使用时,内存损坏bug可能会成为一个严重的安全漏洞,使攻击者能够泄漏敏感信息或执行任意代码。通用术语“内存损坏”通常用于描述在缓冲区边界之外写入内存或写入无效内存地址的后果。

免费后使用

使用后使用(UAF)是与程序操作期间动态内存不正确使用的漏洞。如果在释放内存位置后,程序不会清除该内存的指针,攻击者可以使用错误来破解程序。引用内存已释放后可能导致程序崩溃,使用意外值或执行代码。

苹果

常规,Apple没有提供有关零日攻击的详细信息,似乎是一系列旧模型的iPhone。苹果公司披露这些脆弱性在野外使用,因为直到最近,这并不是其习惯。

“为了保护我们的客户,苹果不会披露、讨论或确认安全问题,直到调查完成,补丁或发布可用。最新版本列在Apple安全更新页面。“

等待披露问题,直到修补程序肯定是有道理的,但保持陷入包装,问题有多严重,是一个不同的案例。如果让客户知道漏洞的这种新习惯都积极被虐待,这是在这里保持遗迹,但它带来了更多的苹果与行业规范更加内联。从我们的角度来看,它是进步的。至少是因为它使用户能够成为获得必要补丁的紧迫性的视角。

大家注意安全!