苹果修补MacOS、iOS等多个程序代码执行、DoS攻击等漏洞
苹果上周针对macOS Catalina 10.15.5及iOS13.6、iPadOS13.6等操作系统发布安全更新,以修补包括远程程序代码执行、DoS攻击、拦截VPN流量及恶意指令注入等重大风险漏洞。
在macOS方面,苹果修补了共19项漏洞,包含11项任意程序代码漏洞,9项落在最新版的macOS Catalina 10.15.5。其中音频处理(Audio)组件包含5项任意程序代码执行漏洞,分别是CVE-2020-9884、CVE-2020-9889的频外写入(out of bound write),CVE-2020-9888、CVE-2020 -9890、CVE-2020-9891的频外读取(out of bound read)。其他4项程序代码执行漏洞分别位于Image I/O、Model I/O、安全组件、显卡驱动程序中。这些漏洞可让攻击者借由发送恶意声音频、USD档、图片文件及恶意程序,而在mac计算机上执行任意程序代码。
macOS Catalina 10.15.5其他类型漏洞方面,苹果修补了Mail中编号CVE-2019-19906的漏洞,远程攻击者可发送恶意文件而引发频外写入,造成拒绝服务(denial of service)攻击;位于核心的CVE-2019-14899则可让具有网络权限的攻击者得以拦截VPN流量;Crash Reporter造成恶意程序突破沙箱而执行的漏洞CVE-2020-9865。其他修补的漏洞还包括Wi-Fi
...查看全文