Apple已发布其iOS和iPadOS操作系统的更新,以修复多个安全问题。通过此次安全更新,Apple解决了AppleAVD、AppleKeyboard、WebKit和Siri等各种产品和组件中的11个漏洞。在已修复的漏洞中,严重程度最高的是CVE-2020-9992,它允许攻击者在系统上执行任意代码。高严重性漏洞–CVE-2020-9992来自IBMX-Force的安全研究人员发现了一个严重漏洞,该漏洞可能允许攻击者提升AppleiOS和iPadOS中的权限以破坏设备。该漏洞是由于IDE设备支持组件中的错误(可跟踪为CVE-2020-9992)导致的,可执行需要用户交互的代码。该公告称,通过指示受害者打开特制文件,攻击者可以利用此漏洞在网络调试会话期间在配对设备上执行任意代码。Apple通过加密网络与运行iOS14、iPadOS14、tvOS14和watchOS7的设备之间的通信来修复此漏洞。其他错误修复AppleAVD/CVE-2020-9958是针对以下设备的更新:iPhone6s及更高版本、iPodtouch第7代、iPadAir2及更新机型以及iPadmini4及更新机型。该漏洞影响可能导致系统意外终止或写入内核内存的应用程序。·Assets/CVE-2020-9979适用于iPhone6s及更新机型、第7代iPodtouch、iPadAir2及更新机型、iPadmini4及更新机型。通过利用此漏洞,攻击者可以滥用信任关系来下载恶意内容。Icons/CVE-2020-9773适用于iPhone6s及更新机型、第7代iPodtouch、iPadAir2及更新机型、iPadmini4及更新机型。恶意应用程序可能会识别用户安装了哪些其他应用程序。·IOSurfaceAccelerator/CVE-2020-9964适用于iPhone6s及更新机型、iPodtouch第七代、iPadAir2及更新机型、iPadmini4及更新机型。本地用户可以读取内核内存。Icons/CVE-2020-9976适用于iPhone6s及更新机型、第7代iPodtouch、iPadAir2及更新机型、iPadmini4及更新机型。恶意应用程序可能会泄露敏感的用户信息。·ModelI/O/CVE-2020-9973适用于iPhone6s及更新机型、第7代iPodtouch、iPadAir2及更新机型、iPadmini4及更新机型。处理恶意制作的USD文件可能会导致应用程序意外终止或任意代码执行。·Phone/CVE-2020-9946适用于iPhone6s及更新机型、iPodtouch第7代、iPadAir2及更新机型、iPadmini4及更新机型。屏幕锁定在指定时间后可能无法使用。Sandbox/CVE-2020-9968适用于iPhone6s及更新机型、iPodtouch第7代、iPadAir2及更新机型、iPadmini4及更新机型。恶意应用程序可能会访问受限文件。Siri/CVE-2020-9959适用于iPhone6s及更新机型、第7代iPodtouch、iPadAir2及更新机型、iPadmini4及更新机型。对iOS设备具有物理访问权限的人可以从锁定屏幕查看通知内容。·WebKit/CVE-2020-9952适用于iPhone6s及更新机型、iPodtouch第7代、iPadAir2及更新机型、iPadmini4及更新机型。处理恶意制作的Web内容可能会导致跨站点脚本(XSS)。本文翻译自:https://gbhackers.com/apple-high-severity-flaw/如有转载请注明出处
