スマホ関連の海外ニュースです。
アップルは、任意コード実行につながっていることができる 2 つの問題を含むセキュリティの脆弱性のいくつかに対処するため月曜日、モバイルオペレーティング システムの iOS 10 を更新しました。 更新, iOS 10.2 は、合計で 12 の脆弱性を修正します。リストをトッピング、アップル メールや Safari を通じて特別に細工された証明書ファイルを送信することによって任意のコードが実行されるなどの攻撃ができるの欠陥だった。メモリ破損が発生し、コードの実行を順番に敵をことができます。 マキシミリアン Arciemowicz、者脆弱性データベース cxsecurity.com を監督し、問題を発見したセキュリティ研究者は、ことバグなかったパッチが適用されて、彼は 11 月 6 日それについての詳細を開示した後でも、Threatpost を先週語った。 「アップル指示条件彼らはセキュリティ上の欠陥を修正するとき、”Arciemowicz 先週と述べた。同氏は、「私アップルがこれら問題を修正するが、いくつかの時間がかかる信じる」。 アップルは、iOS、遠隔モニタリング見守りと watchOS、改良された入力検証を通じて影響を与えた問題を修正しました。 2 番目の脆弱性、イメージの USB デバイスの処理方法で検証の問題は、任意のコード実行にもつながっていること。アンディ ・ デイビス、NCC グループは、交通機関のサイバー セキュリティ プラクティス ディレクターは、改良された入力検証で固定化も問題を発見しました。・ デイビスは、Windows の USB マスストレージ クラス ドライバーで今年初めの欠陥を発見、過去の Black Hat カンファレンスで USB 攻撃について議論したし、以前 2014 年に iOS 7 のカーネル モードで任意のコードが実行される脆弱性を識別しました。 彼らはパッチを当てていた、まで他のバグの多くは、デバイスの設定を操作する機能へのアクセスを持つ攻撃者を与えている可能性が。 ミゲル · アルバラド、iDeviceHelp を実行している脱獄の iPhone のニュースを専門とする YouTube チャンネルは、3 週間前にバイパス バグを開示しました。シリとアップルのユーザー補助機能、VoiceOver の lockscreen のバイパスをだましに、問題、10.2 の固定おそらく最も公表された脆弱性を悪用する可能性があります。月曜日のアドバイザリによると Apple がロックされたデバイスで提供されるオプションを制限することで修正。 踏み台、iOS デバイスのホーム画面を管理するアプリケーションに他の 2 つの脆弱性も修正されました。パスコードをリセットすると、試行の処理から生じた「カウンターの問題」彼らがデバイスに物理的にアクセスを持っていたと仮定すると、攻撃者が悪用があります。攻撃者は、デバイスのロックを解除するバグを使用している可能性があり、それがロックを保持する飛び込み板で別のバグを使用します。 別個のステート管理問題も存在していたができた攻撃者検索を無効にするロックされていないデバイスと私の iPhone の設定。Apple アカウント情報を格納する方法を向上させることによりその問題を修正しました。 アップルは iOS の修正、特に Arciemowicz のメモリ破損の問題のいくつかを組み込む、月曜日に watchOS (3.1.1) および遠隔モニタリング見守り (バージョン 10.1) の更新を発表しました。
続きを読む…
Apple Fixes 12 Vulnerabilities in iOS 10.2
Apple updated its mobile operating system iOS 10 on Monday to address a handful of security vulnerabilities, including two issues that could have led to arbitrary code execution. The update, iOS 10.2, fixes 12 vulnerabilities in total. Topping the list was a flaw that could of allowed an attacker to execute arbitrary code by sending a specially crafted certificate file through Apple Mail or through Safari. That could allow the adversary to cause a memory corruption and in turn code execution. Maksymilian Arciemowicz, a security researcher who oversees the vulnerability database cxsecurity.
Read more…
