Apple发布iOS 14及iPadOS14系统更新
Apple昨天正式发布了新的iOS 14以及iPadOS 14系统。除了众多的新功能以及特性之外,这两个操作系统更新也修补了不少的系统潜在漏洞。当中,最严重的漏洞可以让攻击者在iPhone、iPad以及iPod上执行任意代码。这次修复的11个漏洞都是在AppleAVD、Apple键盘、Webkit以及Siri内的。
这11个漏洞分别为CVE-2020-9992、CVE-2020-0058、CVE-2020-9979、CVE-2020-9773、CVE-2020-9964、CVE-2020-9976、CVE-2020-9973、CVE-2020-9946、CVE-2020-9968、CVE-2020-9959以及CVE-2020-9952。
其中,CVE-2020-9992是最严重的高危权限提升漏洞。如果目标用户被诱使打开一个特制文件的话,攻击者就可以通过网络上的调试环节在目标用户的装置上执行任意代码。Apple把这个漏洞归因于一个未具体说明的集成驱动电子组件,而 这个组件是用于把数据从主板传送到装置的存储部件的接口。至于Apple的解决方法就是在最新的操作系统里加密网络通信。
而根据IBM的X-Force协同威胁情报平台报告显示,这个漏洞是与Apple的开发者测试工具套件Xcode有关的。X-Force的研究人员表示:
“由于IDE设备支持组件中的错误,Apple Xcode可能允许经过身份验证的远程攻击者在系统上执行任意代码。通过诱使目标用户打开特制文件,攻击者可以利用这个漏洞在网络上的调试环节在配对设备上执行任意代码。”
除了这个任意代码执行漏洞外,修复的其他漏洞还包括一个可以让他人在iPhone锁屏时仍然可以看到通知栏消息的Siri漏洞;一个与3D Pixar文件相关,可以让攻击者在特定型号的iOS装置上执行任意代码的漏洞。详细的漏洞信息可以在Apple的安全变更纪录中看到。