欢迎访问Sunbet官网(sunbet),Allbet欧博官网(ALLbetgame)!

首页Sunbet_新闻事件正文

苹果高危漏洞允许攻击者在iPhone、iPad、iPod上执行任意代码

admin2020-09-2434新闻

苹果高危漏洞允许攻击者在iPhone、iPad、iPod上执行任意代码  新闻 第1张

苹果发布了iOS和iPadOS操作系统的更新,修复了多个安全性问题

通过此安全更新,Apple 解决了 AppleAVD,Apple Keyboard,WebKit和Siri等各种产品和组件中的11个漏洞。

在已修复的漏洞中,严重性最高的是CVE-2020-9992,它允许攻击者在系统上执行任意代码。

高危漏洞– CVE-2020-9992

来自IBM X-Force的安全研究人员发现了一个重要漏洞,该漏洞使攻击者能够提升苹果iOS和iPadOS权限,从而影响设备。

该漏洞是由于IDE设备支持组件中的错误所致,可以将其跟踪为CVE-2020-9992,以执行需要用户交互的代码。

公告写道,

通过引导受害者打开特制文件,攻击者可以利用此漏洞在网络上的调试会话期间在配对设备上执行任意代码。

苹果通过加密网络与运行iOS 14、iPadOS 14、tvOS 14和watchOS 7的设备之间的通信,修复了该漏洞。

其他漏洞修复

· AppleAVD/ CVE-2020-9958

适用于以下设备的更新:iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本。

该漏洞影响应用程序可能会导致系统意外终止或写入内核内存。

· Assets/ CVE-2020-9979

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

通过利用此漏洞,攻击者可能会滥用信任关系来下载恶意内容。

· Icons/ CVE-2020-9773

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

恶意应用程序可能会识别用户安装了哪些其他应用程序。

· IOSurfaceAccelerator/ CVE-2020-9964

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

本地用户可能会读取内核内存。

· Icons/ CVE-2020-9976

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

恶意应用程序可能会泄漏敏感的用户信息。

· Model I/O/ CVE-2020-9973

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

处理恶意制作的USD文件可能会导致应用程序意外终止或任意代码执行。

· Phone/ CVE-2020-9946

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

在指定的时间后,屏幕锁定可能不会起作用。

· Sandbox/ CVE-2020-9968

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

恶意应用程序可能会访问受限制的文件。

· Siri/ CVE-2020-9959

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

对iOS设备具有物理访问权限的人可以从锁屏查看通知内容。

· WebKit/ CVE-2020-9952

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

处理恶意制作的Web内容可能会导致跨站点脚本攻击(XSS)。

本文翻译自:​https://gbhackers.com/apple-high-severity-flaw/
Raccoon攻击可以打破特定条件下的TLS 加密

Raccoon 攻击是TLS规范中的时序漏洞,影响HTTPS 和其他基于TLS 和 SSL 的服务。基于 TLS 的这些协议使得用户可以在浏览web网站、使用邮箱、发送即时消息时没有第三方可以读取通信的内容。 Raccoon攻击使得攻击者可以在特定情况下打破TLS 加密,读取敏感通信内容。该漏洞是非常难以利用的,需要非常精确的时序测量和特定的服务器配置才可以利用。 攻击概述 Diffie-Hellman (DH)密钥交换是 TLS 连接中交换密钥的方法。通过使用DH 交换,TLS 通信的双方可以随机生成密钥并计算公钥:ga mod p 和 gb mod p。这些密钥会在TLS KeyExchange(密钥交换)消息中发送。一旦双方接收到密钥,客户端和服务器都会计算一个共享密钥gab mod p(参数密钥),用专门的密钥派生函数来派生所有的 TLS 会话密钥。 R

网友评论