Apple исправила уязвимости в своих продуктах
Компания Apple выпустила набор исправлений для своих продуктов, обновив свою десктопную ОС OS X El Captain, EFI-прошивку для компьютеров Mac, iOS 9, а также iTunes для Windows. Обновление APPLE-SA-2015-10-21-6 Mac EFI Security Update 2015-002 закрывает одну уязвимость CVE-2015-7035 в EFI-прошивке для компьютеров Mac, которая позволяла атакующим компрометировать одну из функций, вызывав ее некорректным образом.
Другое обновление APPLE-SA-2015-10-21-1 iOS 9.1 закрывает 49 различных уязвимостей в iOS. Две закрытых уязвимости (CVE-2015-7015, CVE-2015-6979) относятся к типу Elevation of Privilege и блокируют эффективность использования новейшего Pangu jailbreak для iOS 9, который был анонсирован всего неделю назад. Для iOS также были закрыты несколько прочих уязвимостей, которые позволяли атакующим выполнять нелегитимный код на устройстве с системными привилегиями.
Обновление APPLE-SA-2015-10-21-5 iTunes 12.3.1 для iTunes на Windows 7+ закрывает ряд уязвимостей, которые делали возможной проведение атаки типа MitM при посещении пользователем iTunes Store с помощью приложения. Для обновления iTunes следует воспользоваться приложением Apple Software Update. Приложение устанавливается автоматически при установке iTunes и, как правило, располагается в директории C:\Program Files (x86)\Apple Software Update.
Рис. Интерфейс инструмента Apple Software Update. В случае присутствия обновления iTunes, оно будет показано в списке обновлений.
Обновление APPLE-SA-2015-10-21-4 OS X El Capitan 10.11.1 and Security Update 2015-007 закрывает значительное количество уязвимостей в OS X El Capitan. Две закрытых для El Capitan уязвимостей похожи на их аналоги в Android под названием Stagefright, уязвимости в компоненте Audio позволяют злоумышленникам удаленно исполнить код с использованием специальным образом сформированного MP3-файла при его проигрывании. Схожие с iOS 9 уязвимости jailbreak также были исправлены и для El Capitan. Многочисленные уязвимости были также исправлены в компоненте FontParser, который похож на печально известный драйвер Win32k.sys в Windows, с использованием уязвимостей злоумышленники могут удаленно исполнить код в ОС посредством специальных файлов шрифтов.
Обновление APPLE-SA-2015-10-21-3 Safari 9.0.1 исправляет ряд RCE-уязвимостей в веб-браузере Safari, с использованием которых злоумышленник может удаленно исполнить код в системе. Обновления адресуются движку WebKit. Само обновление веб-браузера, как и прочих компонентов OS X, выполняется с использованием меню «Software Update...». Для получения обновления iOS следует перейти в Настройки->Основные->Обновление ПО. Обновить iOS можно и с использованием iTunes, см. здесь.
Список выпущенных обновлений см. здесь.
Мы рекомендуем пользователям обновить соответствующие продукты Apple.
be secure.