Apple закрыли 12 уязвимостей в iOS, tvOS и watchOS

Олег Иванов 15 Декабря 2016 - 15:31

Домашние пользователи

...

В понедельник Apple выпустили обновления безопасности для платформ IOS, tvOS и watchOS. В общей сложности в этих обновлениях исправляется 12 уязвимостей, которые затрагивают iPhone, iPad, iPod touch, Apple TV и Apple Watch.

Все 12 брешей влияют на iPhone 5 и более поздние версии, iPad 4-го и более поздние поколения и iPod touch 6-го и более поздние поколения. Все дыры были исправлены с выходом на этой неделе прошивки 10.2. Затронутые компоненты включали в себя: Accessibility, Accounts, Find My iPhone, Graphics Driver, Image Capture, Local Authentication, Mail, Media Player, Profiles и SpringBoard.

Отслеживаемая под идентификатором CVE-2016-7626, брешь повреждения памяти затрагивает не только вышеупомянутые iOS-устройства, но и модели 4-го поколения Apple TV и все модели Apple Watch. Эта уязвимость может позволить злоумышленнику добиться выполнения произвольного кода, если пользователь откроет вредоносный сертификат на уязвимом устройстве.

Для того, чтобы атака состоялась, злоумышленнику нужен специально созданный сертификат, который может привести к повреждению памяти нескольких процессов. Он может быть доставлен на уязвимые устройства через Mobile Safari или почтовое приложение.

Баг был обнаружен Maksymilian Arciemowicz (cxsecurity.com), который утверждает, что злоумышленник сможет вызвать переполнение с помощью длины сертификата в поле OCSP. Следовательно, таким способ можно вызвать крах профиля, настроек или привести к другим непредвиденным последствиям.

Еще одна брешь, CVE-2016-7651, была обнаружена в watchOS 3.1.1 специалистами Trend Micro. Она приводила к тому, что настройки авторизации не сбрасываются при деинсталляции приложений. Также эта уязвимость затрагивает и iOS-устройства.

Кроме этого, были исправлены следующие проблемы: возможность получения доступа к контактам и фото с экрана блокировки при наличии физического доступа к устройству (CVE-2016-7664), возможность отключения функции Find My iPhone при обработке информации аутентификации (CVE-2016-7638).

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 21 Апреля 2025 - 18:52

Домашние пользователи Государство Защита персональных данных

Дуров: Telegram за 12 лет не раскрыл ни одного сообщения пользователей

Павел Дуров напомнил: Telegram — единственный крупный мессенджер, который за 12 лет ни разу не передал властям личные переписки пользователей. Даже при наличии судебного ордера компания раскрывает максимум — IP-адрес и номер телефона подозреваемого.

И только если это предусмотрено законом, как, например, в ЕС в рамках Digital Services Act.

Заявление прозвучало на фоне обсуждения опасного законопроекта во Франции. В прошлом месяце местный Сенат одобрил инициативу, обязывающую мессенджеры встроить бэкдоры — технические лазейки, через которые полиция могла бы получать доступ к перепискам.

Национальное собрание вовремя остановило закон, но, по словам Дурова, угроза никуда не делась: буквально три дня назад префект парижской полиции снова призвал вернуться к этому вопросу.

«Telegram бы предпочёл уйти с рынка, чем встроить бэкдор и предать доверие пользователей», — подчеркнул он.

Дуров объясняет: такие инициативы неэффективны против преступности, но разрушительны для цифровой безопасности. Ведь в случае появления бэкдора никто не может гарантировать, что им воспользуется только полиция — в игру тут же вступают хакеры, иностранные разведки и другие злоумышленники. А это угроза для всех пользователей, включая законопослушных.

К слову, даже в странах с сомнительной репутацией в сфере прав и свобод никто не пошёл на официальное ослабление шифрования. А вот в ЕС тема снова на повестке дня — Европейская комиссия недавно предложила аналогичную инициативу.