苹果 修补MacOS缺陷,由恶意软件挖掘到秘密屏蔽屏幕截图

也可以滥用错误来录制音频和视频,访问文件 - 和iOS,iPados也更新


苹果 在Macos中修补了一个被恶意软件开发的麦克斯的洞,以秘密地拍摄受害者的MAC上的截图。

安全缺陷也可能被滥用以访问文件和记录计算机的视频和音频。 Igiant还发布了IOS和iPados 14.6,该IOS和iPados修复了43个CVE列出的安全漏洞,并添加了一堆用户友好的UI调整。

提醒iPhone和iPad用户

三个缺陷,包括由谷歌项目零发现的一个, 固定的 在IOS 14.6和iPados 14.6中可以由恶意应用程序利用以运行代码与内核级别权限,允许恶意软件完全接管设备。英国的国家网络安全中心还通过了拒绝服务问题,可以用恶意制作的信息触发。

在故障列表上也是WebKit,给定安全更新 早些时候 本月,似乎受到严重审查。 Bug Hunters在浏览器引擎中发现了七个CVE漏洞,包括两个将允许任意代码执行 - 这可以通过恶意网页利用来危及iPhone和iPad - 以及一些令人讨厌的通用跨站点脚本问题。

它看起来像安全店趋势科技已经深入了解Apple的金属I / O图形系统。趋势的缺陷发现者报告了10个CVE问题,其中三个可以利用来实现代码执行,以及少数内存损坏问题。

图像I / O编程接口中的代码执行孔也是固定的,并且寻址用户信息和内存泄漏问题。 Apple还更新了其ASN.1解码器,以便在解析时无法在iPhone和iPad上执行代码。

苹果 并没有报告任何这些错误都在狂野中被利用,尽管我们知道恶意软件开发人员是如何。因此,建议尽快修补。

不要忘记MAC

与此同时,麦斯科斯 大苏尔11.4也包括周一,包括74个CVE列出的缺陷的修复。自从Apple刚刚抛出其桌面操作系统以来的方式 在公共汽车下 保存其iOS应用商店。

在iOS和iPados中发现和解决的许多缺陷也在播种并在麦斯卡斯中修复,特别是在内核,WebKit和Model I / O中,尽管桌面OS有一些孔。

在优先级列表中,讽刺地是苹果公司的透明度同意和控制(TCC)机制的安全旁路问题,该机制正在野外被剥削。 CVE-2021-30713由Apple专家Jamf发现,可以通过恶意应用滥用偷偷摸摸地拍摄Mac截图。

我们被告知,XCSet Malware应用程序已使用XCSSet Malware应用程序在人们桌面上窥探。更重要的是,可能会潜在利用错误来访问计算机上的文件,以及从相机和麦克风记录。

这是Jampf描述了TCC和漏洞:

这是控制资源应用程序可以访问的系统,例如授予视频协作软件访问到网络摄像头和麦克风,以便参与虚拟会议。有问题的漏洞可能允许攻击者获得完整的磁盘访问,屏幕记录或其他权限,而无需用户的显式同意 - 这是默认行为。

“在XCSSET恶意软件的额外分析中,我们发现了这种旁路,在XCSSet恶意软件的额外分析中,在野外观察到的检测到的变体显着的升高之后,” 添加 Jamf入侵分析师Jaron Bradley。

“检测团队指出,一旦安装在受害者的系统上,XCSSet就是使用此旁路,专门用于拍摄用户桌面的屏幕截图,而无需其他权限。”

英特尔图形驱动程序进入了一个安全的错误修复,其中两个是允许与内核权限的任意代码执行,另一个可能导致拒绝服务。通过删除狡猾的代码来修复了这种缺陷,并且由于改进的界限检查,现在已经解决了最严重的问题。

苹果 的核心服务模块中还有一个主要孔,再次允许代码执行如果被剥削。问题源于讨论较差的符号链接,这已在新版本中得到解决。

OpenLdap袋装了十个CVES,谢天谢地,所有基本的服务问题,都很烦人,但没有大规模认真。 SMBX还有一个代码执行修复,并弥补了一些信息泄露问题。 ®

类似主题


您可能喜欢的其他故事

咬住它的手©1998-2021