Apple закрыли 12 уязвимостей в iOS, tvOS и watchOS

Олег Иванов 15 Декабря 2016 - 15:31

Домашние пользователи

...

В понедельник Apple выпустили обновления безопасности для платформ IOS, tvOS и watchOS. В общей сложности в этих обновлениях исправляется 12 уязвимостей, которые затрагивают iPhone, iPad, iPod touch, Apple TV и Apple Watch.

Все 12 брешей влияют на iPhone 5 и более поздние версии, iPad 4-го и более поздние поколения и iPod touch 6-го и более поздние поколения. Все дыры были исправлены с выходом на этой неделе прошивки 10.2. Затронутые компоненты включали в себя: Accessibility, Accounts, Find My iPhone, Graphics Driver, Image Capture, Local Authentication, Mail, Media Player, Profiles и SpringBoard.

Отслеживаемая под идентификатором CVE-2016-7626, брешь повреждения памяти затрагивает не только вышеупомянутые iOS-устройства, но и модели 4-го поколения Apple TV и все модели Apple Watch. Эта уязвимость может позволить злоумышленнику добиться выполнения произвольного кода, если пользователь откроет вредоносный сертификат на уязвимом устройстве.

Для того, чтобы атака состоялась, злоумышленнику нужен специально созданный сертификат, который может привести к повреждению памяти нескольких процессов. Он может быть доставлен на уязвимые устройства через Mobile Safari или почтовое приложение.

Баг был обнаружен Maksymilian Arciemowicz (cxsecurity.com), который утверждает, что злоумышленник сможет вызвать переполнение с помощью длины сертификата в поле OCSP. Следовательно, таким способ можно вызвать крах профиля, настроек или привести к другим непредвиденным последствиям.

Еще одна брешь, CVE-2016-7651, была обнаружена в watchOS 3.1.1 специалистами Trend Micro. Она приводила к тому, что настройки авторизации не сбрасываются при деинсталляции приложений. Также эта уязвимость затрагивает и iOS-устройства.

Кроме этого, были исправлены следующие проблемы: возможность получения доступа к контактам и фото с экрана блокировки при наличии физического доступа к устройству (CVE-2016-7664), возможность отключения функции Find My iPhone при обработке информации аутентификации (CVE-2016-7638).

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 21 Апреля 2025 - 14:17

Корпорации Системы защиты данных от потери Средства защиты от шифровальщиков

К2Тех и К2 Кибербезопасность запустили услугу по защите от шифровальщиков

Компании К2Тех и К2 Кибербезопасность запустили совместную услугу, направленную на защиту организаций от атак с использованием программ-шифровальщиков. Основные задачи — снизить вероятность проникновения вымогателей в ИТ-среду и минимизировать последствия в случае успешной атаки.

По данным компаний, в 2024 году количество инцидентов с участием шифровальщиков увеличилось на 44% по сравнению с предыдущим годом. Такие атаки остаются одной из ключевых причин потери данных в организациях разных масштабов.

Как мы писали в прошлом месяце, Лукойл могли атаковать как раз вредоносные программы этого класса — BlackCat или LockBit.

Для работы над проектом была сформирована объединённая команда из более чем 80 специалистов с профильными сертификатами от ведущих производителей средств защиты информации.

Услуга включает весь цикл — от первичного аудита и анализа защищённости до разработки дорожной карты по улучшению ИТ-инфраструктуры и внедрения защитных решений. Также доступна поддержка со стороны центра мониторинга (SOC), при этом состав сервисов подбирается индивидуально для каждого клиента.

Организации, уже подвергшиеся атаке, могут получить экстренную помощь. Первичная диагностика и консультации по плану реагирования предоставляются оперативно и без оплаты. Затем специалисты могут подключиться к восстановлению ИТ-инфраструктуры и расследованию инцидента.

По словам представителей компаний, спрос на такие услуги растёт: вирусы-шифровальщики всё чаще используются не только с целью выкупа, но и для причинения прямого ущерба конкретным организациям. При этом, несмотря на рост числа кибератак и ужесточение требований регуляторов, многие компании до сих пор не имеют собственного ИБ-подразделения — в 55% случаев вопросы безопасности по-прежнему решаются силами ИТ-отдела.

Новая услуга ориентирована как на пострадавшие организации, так и на компании, стремящиеся заранее повысить уровень своей киберзащиты.