金花彩票首页

Apple修补程序OSX和iOS,但未修补的缺陷仍然是

更新:2019-11-05 编辑:金花彩票首页 来源:金花彩票首页 热度:7973℃

Apple正在更新其MacOSX桌面操作系统及其iOS移动操作系统,以修复与实施安全套接字层(SSL)加密相关的漏洞。苹果于2月21日发布iOS7.0.6更新,OSXMaverick10.9.2更新于2月25日发布。

iOS和MacOSX更新共享一个严重的安全漏洞通用漏洞和暴露(CVE)编号CVE-2014-1266。

“安全传输未能验证连接的真实性,”Apple在其安全公告中警告说。“通过恢复缺失的验证步骤解决了这个问题。”

安全研究员AdamLangley在博客中写道,缺少的验证步骤是错误地使用代码中的“gotofail”语句来验证给定的SSL证书事实是有效的。

进一步阅读Brinqa如何为网络风险带来可行的见解......Splunkvs.LogRhythm:SIEMHead-to-Head

SSL漏洞不是“iOS”唯一的安全问题。研究公司FireEye发布了一个新的和未修补的漏洞的细节,这个漏洞也会影响iOS设备。该缺陷是一个后台应用程序日志记录问题,可能使潜在的恶意应用程序无需用户授权即可收集信息。

“我们已经在非越狱的iOS7.0上创建了一个概念验证”监控“应用程序。x设备,“FireEye指出。“此”监控“应用程序可以在后台记录所有用户触摸/按下事件,包括触摸屏,主页按钮按下,音量按钮按下和TouchID按下,然后此应用程序可以将所有用户事件发送到任何远程服务器。“

FireEye发言人向eWEEK证实Apple已正确通知该问题并正在努力解决问题。Apple没有直接回应eWEEK就此问题发表评论的请求。

然而,iOS用户可以自行执行缓解,以限制恶意后台监控应用程序的风险。

“IOS用户避免这种安全风险的唯一方法是使用iOS任务管理器阻止应用程序在后台运行,以防止潜在的后台监控,”FireEye建议。

OSX10.9.2

虽然OSX10.9.2中的SSL缺陷修复是值得注意的,因为它与iOS中的相同,但OSX更新中也修复了其他缺陷。

Apple正在为OSX中的QuickTime媒体播放器软件修补六个独立的漏洞,这些漏洞可能会让用户面临风险并使攻击者能够控制系统。

只需查看恶意制作的JPEG图像文件也可能启用攻击来利用MacOSX用户。

“libjpeg中存在未初始化的内存访问问题”处理JPEG标记,导致内存内容泄露,“苹果公司在其咨询中警告说。“通过更好的JPEG处理解决了这个问题。”

新MacOSX10.9.2更新中的其他有趣的安全修复程序之一是系统时钟安全漏洞。风险是非特权用户可能能够更改系统时钟。

“此更新改变了”systemsetup“命令的行为,要求管理员权限更改系统时钟,”Apple“咨询说明。

SeanMichaelKerner是eWEEK和InternetNews.com的高级编辑。在Twitter@TechJournalist上关注他。

(责任编辑:金花彩票首页)

本文地址:http://www.dlsmyst.com/meiwen/xinshang/201911/1727.html

上一篇:Gartner对2007年的十大关键预测

下一篇:没有了

相关文章