Apple hat kürzlich Sicherheitskorrekturen für iOS veröffentlicht, iPadOS, watchOS, und macOS, Beheben von Schwachstellen, die von Googles Project Zero gemeldet wurden. Laut den Sicherheitshinweisen des Unternehmens, Drei der Mängel wurden von Project Zero gemeldet und werden in freier Wildbahn ausgenutzt.
Diese Fehler sind ein Fehler bei der Ausführung von Remotecode (CVE-2020-27930), ein Kernel-Speicherverlust (CVE-2020-27950), und eine Eskalation der Kernel-Berechtigungen (CVE-2020-27932). Besitzer von Apple-Geräten sollten ihre Software so schnell wie möglich aktualisieren. Es ist auch bemerkenswert, dass "Apple nichts preisgibt, diskutieren, oder bestätigen Sie Sicherheitsprobleme, bis eine Untersuchung stattgefunden hat und Patches oder Releases allgemein verfügbar sind. “
CVE-2020-27930
Diese kritische Sicherheitsanfälligkeit ist in macOS bis zur Version vorhanden 10.15.7. Der Fehler betrifft eine unbekannte Verarbeitung der FontParser-Komponente. Laut Vulnerability Database, Seine Manipulation kann zu Speicherbeschädigungen führen. Weiter, Der Fehler ist trivial auszunutzen und kann aus der Ferne ausgenutzt werden.
CVE-2020-27950
Dies ist eine problematische Kernel-Sicherheitslücke in Apple iOS und iPadOS bis 14.1, Dies kann zur Offenlegung von Informationen führen. Bisher ist bekannt, dass die Ausnutzung des Fehlers einfach zu sein scheint, und es sollte lokal passieren. Für den Angriff ist eine einzelne Authentifizierung erforderlich. Die Sicherheitsanfälligkeit kann auch einer böswilligen App helfen, beliebigen Code mit Kernelrechten auszuführen.
CVE-2020-27932
Diese Kernel-Sicherheitslücke scheint Apple iOS und iPadOS bis zu betreffen 14.1, sowie Apple WatchOS bis zu 5.3.8/6.2.8/7.0.3. Über den Fehler ist wenig bekannt, und seine Auswirkungen sind noch unbekannt.
Jedoch, Sicherheitsforscher warnen davor, dass diese Fehler miteinander verkettet werden können, um die Geräte der Benutzer zu entführen. Benutzer können dazu verleitet werden, eine bestimmte Aktion auszuführen, wie ein Dokument öffnen, Nachricht, oder eine Webseite, die eine schädliche Schriftart lädt. Dies könnte dann zur Codeausführung mit Kernel-Berechtigungen führen.
Entsprechende Updates wurden in iOS veröffentlicht 14.2 und iPadOS 14.2, watchOS 7.1, Mac OS 10.15.7, und tvOS 14.2. Das Unternehmen gab auch iOS heraus 12.4.9 für veraltete iPhone-Modelle, die nicht mehr unterstützt werden, zurück zum iPhone 5. Für mehr Informationen, du kannst lesen Apples offizielle Bulletins.
Im April dieses Jahres, Sicherheitsforscher Bhavuk Jain berichtete Eine Zero-Day-Sicherheitsanfälligkeit in der Funktion "Mit Apple anmelden" Dies betraf Anwendungen von Drittanbietern, Verwendung ohne eigene Sicherheitsmaßnahmen.
Laut Jain, Der Apple Zero-Day "hätte zu einer vollständigen Übernahme von Benutzerkonten in dieser Drittanbieteranwendung führen können, unabhängig davon, ob ein Opfer eine gültige Apple ID hat oder nicht."
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: