苹果高危漏洞允许攻击者在iPhone、iPad、iPod上执行任意代码
苹果发布了iOS和iPadOS操作系统的更新,修复了多个安全性问题。
通过此安全更新,Apple 解决了 AppleAVD,Apple Keyboard,WebKit和Siri等各种产品和组件中的11个漏洞。
在已修复的漏洞中,严重性最高的是CVE-2020-9992,它允许攻击者在系统上执行任意代码。
高危漏洞– CVE-2020-9992
来自IBM X-Force的安全研究人员发现了一个重要漏洞,该漏洞使攻击者能够提升苹果iOS和iPadOS权限,从而影响设备。
该漏洞是由于IDE设备支持组件中的错误所致,可以将其跟踪为CVE-2020-9992,以执行需要用户交互的代码。
公告写道,
“通过引导受害者打开特制文件,攻击者可以利用此漏洞在网络上的调试会话期间在配对设备上执行任意代码。”
苹果通过加密网络与运行iOS 14、iPadOS 14、tvOS 14和watchOS 7的设备之间的通信,修复了该漏洞。
其他漏洞修复
· AppleAVD/ CVE-2020-9958
适用于以下设备的更新:iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本。
该漏洞影响应用程序可能会导致系统意外终止或写入内核内存。
· Assets/ CVE-2020-9979
适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。
通过利用此漏洞,攻击者可能会滥用信任关系来下载恶意内容。
· Icons/ CVE-2020-9773
适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。
恶意应用程序可能会识别用户安装了哪些其他应用程序。
· IOSurfaceAccelerator/ CVE-2020-9964
适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。
本地用户可能会读取内核内存。
· Icons/ CVE-2020-9976
适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。
恶意应用程序可能会泄漏敏感的用户信息。
· Model I/O/ CVE-2020-9973
适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。
处理恶意制作的USD文件可能会导致应用程序意外终止或任意代码执行。
· Phone/ CVE-2020-9946
适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。
在指定的时间后,屏幕锁定可能不会起作用。
· Sandbox/ CVE-2020-9968
适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。
恶意应用程序可能会访问受限制的文件。
· Siri/ CVE-2020-9959
适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。
对iOS设备具有物理访问权限的人可以从锁屏查看通知内容。
· WebKit/ CVE-2020-9952
适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。
处理恶意制作的Web内容可能会导致跨站点脚本攻击(XSS)。