Apple устранила уязвимости в своих продуктах

Apple устранила уязвимости в своих продуктах

Apple устранила уязвимости в своих продуктах

05.11.2020 компания Apple выпустила обновления безопасности для своих продуктов.

В операционных системах Mac OS Catalina 10.15.7 и watchOS версий 5.3.9 и 6.2.9 устранены три уязвимости «нулевого дня» (CVE-2020-27930, CVE-2020-27932, CVE-2020-27950). Известны случаи их эксплуатации злоумышленниками в ходе компьютерных атак. Первая уязвимость связана с повреждением памяти, возникает при обработке вредоносного шрифта и может привести к выполнению произвольного кода злоумышленником. Вторая уязвимость связана с путаницей типов данных (type confusion) и позволяет злоумышленнику выполнить произвольный код с привилегиями ядра. Эксплуатация уязвимости CVE-2020-27950 позволяет раскрыть память ядра.

В iOS 12.4.9 также устранены уязвимости «нулевого дня» (CVE-2020-27932, CVE-2020-27950) и уязвимость, связанная с проблемой при обработке вызовов Group FaceTime (CVE-2020-27929).

В iOS и iPadOS 14.2 устранено 24 уязвимости, в том числе вышеописанные уязвимости «нулевого дня». Эксплуатация остальных уязвимостей связана с ошибкой при обработке входящих вызовов, повышением привилегий, проблемой аутентификации и может позволить злоумышленнику обойти ограничения безопасности, выполнить произвольный код (в том числе с привилегиями ядра), раскрыть память ядра, получить доступ к сохраненным паролям без прохождения аутентификации, вызвать неожиданное завершение работы приложения.

В watchOS 7.1 устранено 18 уязвимостей, в том числе три вышеописанные уязвимости «нулевого дня». В tvOS 14.2 устранены аналогичные 15 ошибок, за исключением трех уязвимостей «нулевого дня». Их эксплуатация может позволить злоумышленнику выполнить произвольный код (в том числе с привилегиями ядра), повысить привилегии, прочитать произвольные файлы, вызвать неожиданное завершение работы приложения, раскрыть память ядра.