Apple выпустила первые обновления для iOS и MacOS в 2019 году

Компонент ядра ядра Apple, который лежит в основе операционных систем iOS и macOS, получает новые исправления из-за многочисленных уязвимостей, которые могут привести к выполнению произвольного кода.

Apple выпустила свои первые обновления безопасности 2019 года 22 января, предоставляя исправления для множества уязвимостей в своих мобильных операционных системах iOS и macOS для настольных ПК.

Новые обновления включают iOS 12.1.3 для мобильных устройств Apple iPhone и iPad, watchOS 5.1.3 для Apple Watch и обновление безопасности 2019-001 для macOS High Sierra.

Исправленные уязвимости включают повышение привилегий, раскрытие информации и недостатки исполнения кода, которые потенциально могут подвергнуть пользователей Apple риску.

Одной из наиболее серьезных уязвимостей, исправленных Apple, является уязвимость CVE-2019-6224, которая могла позволить удаленному злоумышленнику начать вызов FaceTime. Ошибка FaceTime была обнаружена исследователем Google Project Zero Security Натальей Сильванович. Apple исправила ошибку с улучшенной обработкой памяти.

Новые обновления безопасности от Apple являются первыми обновлениями с декабря 2018 года, когда Apple также исправила серьезный недостаток FaceTime. Этот недостаток включал обход пароля, идентифицированный как CVE-2018-4430, который мог позволить злоумышленнику обойти пароль iOS.

Уязвимости ядра

Одна из самых больших областей для исправлений безопасности в новых обновлениях Apple - в компоненте ядра, который используется как в iOS, так и MacOS.

Apple исправляет шесть недостатков ядра (CVE-2019-6205, CVE-2019-6208, CVE-2019-6209, CVE-2019-6210, CVE-2019-6213 и CVE-2019-6225).

Исследователи из Google Project Zero сообщили обо всех шести проблемах с ядром; Apple также предоставили Qihoo 360 Vulcan Team кредит на CVE-2019-6225. Влияние шести уязвимостей ядра подразумевает выполнение произвольного кода, повышение привилегий и повреждение памяти.

Ядро - не единственный общий компонент в операционных системах Apple, который был исправлен - компонент Bluetooth в iOS и macOS также был закрыт от уязвимости.

«Злоумышленник, находящийся в привилегированном положении в сети, может выполнить произвольный код», - предупреждает Apple в своем сообщении о недостатке, обозначенном как CVE-2019-6200.

Safari и WebKit

В любом обновлении Apple исправления для механизма рендеринга браузера WebKit и веб-браузера Safari обычно заметны, и обновления Apple, выпущенные в январе 2019 года, не являются исключением.

Всего существует девять CVE для WebKit (CVE-2019-6212, CVE-2019-6215, CVE-2019-6216, CVE-2019-6217, CVE-2019-6226, CVE-2019-6227, CVE-2019- 6229, CVE-2019-6233 и CVE-2019-6234).

Эти ошибки могли потенциально привести к выполнению произвольного кода и были вызваны различными типами проблем с повреждением памяти, которые Apple теперь исправляет с помощью улучшенной обработки памяти.

Клавиатура

Среди интересных недостатков, исправленных в iOS, есть один компонент экранной клавиатуры, обозначенный как CVE-2019-6206. Согласно Apple, функция автозаполнения паролей в iOS могла бы заполнять пароли даже после того, как они были очищены вручную.

«Возникла проблема с возобновлением автозаполнения после его отмены», - говорится в сообщении Apple. «Проблема была решена путем улучшения государственного управления».

Первоначально статья была размещена на портале www.eweek.com