Apple исправляет десятки уязвимостей выполнения кода в macOS

Apple выпустила на этой неделе несколько обновлений для операционных систем macOS, с помощью которых было исправлено 59 уязвимостей, многие из которых могут привести к удаленному выполнению произвольного кода.

Обновления безопасности 2020-001 для Catalina и 2020-007 для Mojave устраняют уязвимости в компонентах Audio, App Store, Bluetooth, CoreAudio, FontParser, Graphics Drivers, Kernel, ImageIO, Intel Graphics Driver, libxml2, Ruby, WebRTC и Wi-Fi. При этом наиболее проблемными были компоненты:

• ImageIO (8 уязвимостей, 6 из которых приводят к выполнению произвольного кода);
• FontParser (7 уязвимостей, 6 из которых приводят к выполнению произвольного кода);
• Kernel (7 уязвимостей, 3 из которых приводят к выполнению произвольного кода с привилегиями ядра).

В Apple отмечают, что большая часть уязвимостей и выявленных проблем были устранены за счет улучшенной проверки ввода. Чтобы убрать остальные недостатки, разработчики использовали улучшенное управление состоянием, улучшенные проверки границ и иные улучшения.

На этой неделе Apple также заявила о выходе обновлений для tvOS и watchOS для устранения 9 и 10 уязвимостей, обнаруженных ранее. Как и в ситуации с выпуском обновлений для iOS 14.3 и iPadOS 14.3, представленные патчи предназначены для исправления ошибок выполнения произвольного кода, раскрытия памяти, нарушения политики аутентификации.

Были исправлены уязвимости в macOS Server 5.11 (открытое перенаправление/межсайтовый скриптинг XSS в Profile Manager), Safari 14.0.2 (выполнение произвольного кода в WebRTC), iOS 12.5 (нарушение политики аутентификации) и watchOS 6.3 (нарушение политики аутентификации).

Дополнительно представители Apple в информационном сообщении Multi-State Information Sharing and Analysis Center (MS-ISAC) заявили, что не располагают информацией о том, что хотя бы одна из исправленных 59 уязвимостей использовалась в реальных атаках.