苹果公司(Apple Inc.)最近发布了一系列更新,以解决包括macOS、iOS、Safari、tvOS、watchOS以及iTunes和Windows版iCloud应用程序(iCloud for Windows)在内的数十种产品漏洞。
新发布的macOS High Sierra 10.13.5共包含了针对32个安全漏洞的修补程序,受漏洞影响的组件包括:Accessibility Framework、AMD、apache_mod_php、ATS、蓝牙(Bluetooth)、FontParser,图形驱动程序(Graphics Drivers)、Hypervisor、iBooks、内核(Kernel)、libxpc、Mail、Messages、安全性(Security)、UIKit和Windows Server。
其中一些漏洞可能导致任意代码执行、内核内存泄露、特权提升、信息泄露、EFI闪存区域篡改、泄露受限内存、欺骗密码提示、拒绝服务、用户跟踪、钥匙串的状态篡改以及帐户和设备标识符的泄露。
作为安全更新2018-003 Sierra和安全更新2018-003 El Capitan的一部分,这些修补程序分别适用于所有运行macOS High Sierra 10.13.4、macOS Sierra 10.12.6和OS X El Capitan 10.11.6系统的设备。
另一方面,iOS 11.4的发布解决了34个安全漏洞,涉及蓝牙(Bluetooth)、通讯录(Contacts)、FontParser、iBooks、内核(Kernel)、libxpc、放大镜(Magnifier)、Mail、Messages、Safari、安全性(Security)、Siri、Siri Contacts、UIKit和WebKit。
这些漏洞可能导致特权提升、拒绝服务、任意代码执行、密码提示欺骗、信息泄露、模拟攻击、标识符泄露、私人联系信息泄露、地址栏欺骗、cookie覆盖以及意外的Safari崩溃。
英国知名安全公司Sophos表示,在iOS中解决的一个问题(两个拒绝服务漏洞CVE-2018-4240和CVE-2018-4250)与苹果产品中的文本渲染代码有关,它无法向左和向右连续切换数千次。通过发送一条需要应用程序进行大量切换的消息。
影响到Mail的一个漏洞被追踪为CVE-2018-4227,允许攻击者窃取使用S/mime加密的电子邮件的内容。该漏洞由德国明斯特大学、波鸿鲁尔大学和鲁汶大学的研究人员发现,这一问题在处理加密邮件时也存在,也影响了macOS High Sierra 10.13.4。
最新的Safari 11.1.1版本包含了针对13个安全漏洞的修补程序,这些漏洞可能导致拒绝服务、地址栏欺骗、cookies覆盖、任意代码执行、意外崩溃以及敏感数据泄露。更新后的浏览器可用于OS X El Capitan 10.11.6、macOS Sierra 10.12.6和macOS High Sierra 10.13.4系统。
watchOS 4.3.1版本中包含的修补程序解决了影响到Crash Reporter、FontParser、Kernel、libxpc,Messages、Security、UIKit和WebKit的20个安全漏洞。另一方面,tvOS 11.4版本解决了相同组件中的24个安全漏洞。
在上周,苹果公司还发布了针对Windows操作系统的iTunes 12.7.5版本(iTunes 12.7.5 for Windows),其中包含了针对16个安全漏洞的修补程序。同样被发布的还包括Windows 版iCloud 7.5(iCloud for Windows 7.5),用于修复类似的安全漏洞。
网友评论