苹果发布 iOS 更新,修复了版本12.2 中的51个安全漏洞。受影响的产品是 iPhone 5s 及后续版本、iPad Air 及更新版本、和第6代 iPods。

运行 tvOS 的产品 Apple TV 4K 和 AppleTV HD 基本上基于iOS,应当升级至12.2版本,因为它们也受其中36个漏洞的影响。

修复的漏洞包含多种类型,可导致拒绝服务、权限提升和信息泄漏问题,从而导致攻击者获取根权限、覆写任意文件或执行受攻击者控制的代码。

19个Webkit 漏洞

颇有声誉的安全专业人员和 Facebook 公司的前安全首席官 Alex Stamos 引用 iOS 12.2 中修复了多个严重的内存损坏漏洞时表示,苹果或许应该在举办大型媒体活动时顺便发布安全更新。

截至目前,多数漏洞存在于 WebKit 中,该 Web 浏览器引擎被用于很多产品中如 Safari、Mail 和 App Store。其中多数漏洞是内存损坏漏洞,通过处理恶意构造的 Web 内容,它们可被用于执行任意代码。苹果公司通过改进内存处理、状态及管理解决了这些错误。

另外一个和内存相关的问题 CVE-2019-8562 可被用于导致某进程绕过沙箱限制。苹果的解决方案是提升验证检查。

漏洞 CVE-2019-6222 可导致网站在无需显示活跃状态的情况下访问麦克风。ReplayKit 组件中的漏洞 CVE-2019-8566 也可导致同样的结果,可从屏幕记录或访问流视频、从某应用或直接从麦克风中访问音频。

从苹果发布的安全性能提升情况来看,攻击者可使用两个漏洞实现通用跨站点脚本 (UXSS) (CVE-2019-8551) 后果和获取用户敏感信息 (CVE-2019-8515)。

另外,攻击者能够利用另外一个 Webkit 漏洞 (CVE-2019-8503) 导致网站在另外一个网站上下文中执行脚本。

内核问题和恶意 SMS

六个问题影响早期 iOS 版本中的内核,可导致系统崩溃或损坏 (CVE-2019-8527)、允许恶意应用读取内存布局(CVE-2019-8540、CVE-2019-6207、CVE-2019-8510)或获取提升后权限 (CVE-2019-8514)。

利用 CVE-2019-7293 可导致本地用户读取内核内存并提取敏感信息。

另有一名匿名研究人员提交了一个有意思的漏洞 CVE-2019-8553,影响 GeoServices 组件。苹果公司简要地表示攻击者能够向受害者发送“恶意 SMS 链接”,执行任意代码。

苹果公司发布如此多的安全补丁令人印象深刻,不仅是因为数量多,而且因为某些漏洞很严重。用户应当尽快安装更新,因为这些漏洞可对苹果产品造成重大风险。

本文由360代码卫士翻译自BleepingComputer

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。