Длинный список Адресов iOS 9 Apple Уязвимостей

apple

iOS 9 предлагает обширные обновления системы защиты, включая патчи, чтобы защитить учетные данные доступа, смягчить риски спуфинга и экран против других уязвимостей.В дополнение ко многим новым функциям iOS 9 Apple обращается к длинному списку уязвимостей системы обеспечения безопасности.

IOS 9 обновлений системы защиты следуют за обновлениями системы защиты iOS 8.4, которые вышли 30 июня.Apple Pay получила патч для уязвимости, идентифицированной как CVE-2015-5916, который ошибочно добавляет функциональность журнала транзакций на некоторых конфигурациях.

Среди ключевых обещаний Apple Pay конфиденциально информации.«Некоторые карты могут позволить терминалу получать ограниченную недавнюю информацию об операции при осуществлении платежа», отметила Apple на ее консультации безопасности.

Как с большинством современных мобильных операционных систем, iOS предлагает пользователям опцию того, чтобы позволять код доступа защитить доступ к устройству. Дефект CVE-2015-5850, который был фиксирован в iOS 9, возможно, позволил атакующему сбросить код доступа с резервной копией iOS.Учетные данные доступа также защищаются в iOS 9 с патчем к компоненту iTunes Store. CVE-2015-5832, сообщил Apple исследователем в области безопасности Кэзифом Декелем из программного обеспечения Контрольной точки, уязвимость, в которой учетные данные AppleID остались постоянными в iOS даже после того, как пользователь выписался.

Сохраненные учетные данные AppleID были недавно идентифицированы Сетями Пало-Альто как находящийся в опасности на взломанных устройствах на iOS в так называемом нападении Keyraider что нужные пользователи в 18 странах.IOS 9 патчей безопасности имеют дело с особенно противным риском спуфинга в Почтовом приложении, что Основной Инженер по безопасности Salesforce.com ЭМРЕ СЭГЛЭМ сообщил Apple.«Атакующий может послать электронное письмо, которое, кажется, прибывает из контакта в адресной книге получателя», Apple предупреждает на ее консультации. «Эта проблема была решена посредством улучшенной проверки».

Проблемой доверия приложения всегда является вершина ума для предприятий. Для iOS 9 исследователей от фирмы безопасности FireEye сообщил Apple дефекта CVE-2015-5837, который, возможно, позволил злонамеренному корпоративному приложению установить расширения, даже если приложению еще не доверяет предприятие.Компонент CFNetwork, который предоставляет базовые сетевые технологии iOS, исправляется для девяти различных проблем безопасности. Среди уязвимостей CFNetwork CVE-2015-5858, дефект парсинга веб-адреса в обработке HSTS (HTTP Строгая Транспортная безопасность).

С HSTS Веб-сайт может указать, что это только доступно по зашифрованному соединению HTTPS. Дефект – то, что атакующий мог обойти HSTS, потенциально пропустив уязвимые данные.

CVE-2015-5860 является другим дефектом CFNetwork в обработке HSTS, которая влияет на веб-браузер Safari, работающий в частном режиме просмотра. Цель частного режима просмотра не состоит в том, чтобы сохранить историю или cookie. С дефектом CVE-2015-5860 атакующий, возможно, потенциально отследил пользователей в Safari частный режим просмотра.CFNetwork также укрепляется для ограничения риска дешифрования Уровня защищенных сокетов (SSL) посредством шифра шифрования RC4, который, как известно, небезопасен.

«Атакующий мог вызвать использование RC4, даже если бы сервер предпочел лучшие шифры, блокировав TLS 1.0 и более высокие связи, пока CFNetwork не попробовал SSL 3.0, который только позволяет RC4», Apple предупреждает. «Эта проблема была решена, удалив нейтрализацию к SSL 3.0».Проблема нейтрализации SSL 3.0 влияла на многих поставщиков в прошлом году, включая Apple (который исправил для дефекта ПУДЕЛЯ, который был сначала раскрыт в октябре 2014).Самый большой единственный источник исправленных уязвимостей в iOS 9 найден в WebKit, предоставляющем механизм, который фиксируется для 34 других вопросов. Из тех Apple идентифицировала 25, поскольку повреждение памяти выходит, который мог привести к произвольному выполнению кода.

Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.


VIRTU-VIRUS.RU