77779193永利|_中国集团官网

新闻详情

News Information

漏洞通告:IOS代码执行漏洞
2020-09-19

漏洞背景

iOS 14和iPadOS 14的发布带来了11个漏洞的修复,其中一些漏洞具有很高的危险性。

苹果已经更新了其iOS和iPadOS操作系统,从而解决了其iPhone,iPad和iPod设备中的一系列缺陷。其中最严重的攻击者可能使对手利用针对任何设备的特权升级漏洞,并最终获得任意代码执行。

该漏洞已于周三发布,作为Apple发布其iOS 14和iPadOS 14安全更改日志的一部分。苹果总共解决了11个产品和组件中的错误,包括AppleAVD,Apple Keyboard,WebKit和Siri。

漏洞描述

Apple并未评价其安全漏洞,但粗略回顾CVE描述表明,已修补了范围广泛的相关漏洞。例如,Siri错误允许具有iPhone物理访问权限的人从锁定屏幕查看通知内容。另一个错误与恶意制作的3D Pixar文件有关,该文件称为“通用场景描述(USD)”,该文件可能允许攻击者在特定型号的iOS设备上执行任意代码。


IBM X-Force 团队的研究员指出,苹果公司修复的最严重漏洞之一是影响苹果 iOS和 iPadOS(直至13.7)的一个特权提升漏洞CVE-2020-9992。如目标已被诱骗打开特殊构造的文件,则漏洞可遭用。


一份相关的安全通告指出,“攻击者能够利用该漏洞在网络上调试会话期间,在配对设备上执行任意代码。”


苹果公司认为问题根源在于一个未识别的集成设备电子 (IDE) 组件,它用于将数据从设备的母板(或电路板)传递到设备的存储组件中。苹果在安全更新页面指出,“已通过加密网络和设备(运行 iOS 14、iPadOS 14、tvOS 14 和 watchOS 7)之间通信的方式解决了这个问题。”研究员 Dany Lisiansky 和 Nikias Baasen 发现了这个漏洞。另外,苹果公司还致谢谷歌 Project Zero 团队研究员 Brandon Azard 提供的帮助。苹果公司和研究员均未披露关于该漏洞的更多详情。


X-Force 团队漏洞报告认为该漏洞为高危漏洞,并披露了更多详情。他们认为该漏洞和苹果的开发者工具集 Xcode 有关。Xcode 被指为“用于为 Mac、iPhone、iPad、Apple Watch 和 Apple TV 创建应用的完整开发者工具集。”


X-Force 团队研究员指出,“苹果 Xcode 可导致远程认证攻击者在系统上执行任意代码,这是由 IDE DeviceSupport 组件中的一个错误引起的。只需说服受害者打开特殊构造的文件,攻击者就能够利用该漏洞在网络的调试会话期间在配对设备上执行任意代码。”


他们表示,该漏洞影响 Apple Xcode 11.7 组件。该组件用于苹果的 macOS Mojave10.15.4、10.15.5和10.15.6版本(Mojave版本于2018年9月推出,且在同年6月的世界开发者大会上公开)。有意思的是,X-Force 团队表示该攻击并不复杂,具有“低”权限的攻击者即可轻易利用该漏洞。


苹果公司表示,上周三发布的 Xcode 12.0 缓解了该漏洞。

漏洞危害

危害:

影响版本

影响 Apple iOS和iPadOS(最高13.7)


解决方案

  • 升级ios系统至最新版本



参考信息

  • https://threatpost.com/apple-bug-code-execution-iphone/159332/




Baidu
sogou