苹果本周发布了补丁程序,以解决其产品上的众多漏洞,包括五个影响其操作系统使用的音频组件的任意代码执行问题。
发现这五个错误会影响macOS Catalina,其中四个也会影响iOS和iPadOS,tvOS和watchOS。
前两个缺陷是CVE-2020-9884和CVE-2020-9889,这两个缺陷超出了写入范围,而其余三个缺陷,即CVE-2020-9888,CVE-2020-9890和CVE-2020- 9891,是越界读取缺陷。
通过提供恶意制作的音频文件,以最终在受影响的系统上执行任意代码,可以利用所有漏洞。
macOS中总共修补了19个问题 ,包括Clang,CoreAudio,CoreFoundation,Crash Reporter,图形驱动程序,Heimdal,ImageIO,内核,邮件,消息,模型I / O,安全性,Vim和Wi-Fi中的漏洞。
这些可能导致任意代码执行,敏感信息泄漏,沙箱逃逸,将数据注入VPN隧道内的活动连接,拒绝服务,应用程序意外终止,系统终止或内核内存损坏。
iOS 13.6和iPadOS 13.6总共解决了29个漏洞,其中包括大多数在macOS中修补的漏洞。该平台还包括针对蓝牙,GeoServices,iAP,内核,Safari登录自动填充,Safari浏览器,WebKit,WebKit页面加载,WebKit Web检查器和Wi-Fi的错误的补丁。
这些可能导致代码执行,缓解绕过,拒绝服务,应用程序终止,绕过同源源策略,阻止内容安全策略实施,指针身份验证绕过或命令注入。
该更新现已针对iPhone 6s和更高版本,iPad Air 2和更高版本,iPad mini 4和更高版本以及iPod touch第7代推出。
tvOS 13.4.8于本周发布,其中包含针对这些漏洞的20个补丁,而watchOS 6.2.8解决了其中的19个漏洞。
Safari 13.1.2适用于macOS Mojave和macOS High Sierra,并包含在macOS Catalina中,它修复了Safari下载,登录自动填充,阅读器,WebKit,WebKit页面加载和WebKit Web检查器中的11个缺陷。
苹果还宣布发布iOS 12.4.8(适用于iPhone 5s,iPhone 6和6 Plus,iPad Air,iPad mini 2和3,iPod touch第6代),watchOS 5.3.8(适用于Apple Watch Series 1、2、3) ,和4)和Xcode 11.6(适用于macOS Mojave 10.15.2及更高版本),但表示它们尚未发布CVE。