苹果手表watchOS 2更新:修复大量代码执行漏洞


发布人:admin分类:网络安全浏览量:23发布时间:2017-12-12

令果粉们激动的watchOS 2终于来了,这是一个可以自己打造的手表系统,同时新版本进行了大量的安全补丁

姗姗来迟的watchOS 2

原定于9月16日与果粉见面的苹果手表新系统watchOS 2,因为突然发现的漏洞而被迫延迟,让不少国内用户白白守候到凌晨。终于,昨天新系统正式发布,网上很快便出现评测:苹果表不再是个装X工具。当然,我们最关注的主要还是新系统的安全性。

新系统修复的漏洞包括了存在于多个组件中的远程代码执行漏洞,以及一些CFNetwork证书验证的问题。盘古团队指出,苹果还在dlyd修补一个了bug——操作系统的动态链接器。

苹果公司说,dyld漏洞允许应用程序绕过代码签名:

“存在一个可执行的代码签名验证问题,这个问题是通过改进边界检查得到解决。”

苹果还谈到了出现在CFNetwork中,开发人员使用核心服务框架作为网络协议抽象库的漏洞。这两个漏洞允许攻击者以中间人的位置读取SSL/TLS通信或跟踪用户活动。苹果表示他们通过改进证书验证以及改善更加限制的cookie分别修复了这两个问题。

watchOS的第一次重大安全更新

苹果还修复了watchOS处理代理连接的问题,防止攻击者通过代理设置恶意。

此次新系统发布了一个补丁解决了FTP客户端的问题防止客户侦察其他主机,还解决了需要物理访问到iOS设备的加密问题:

“缓存数据仅由硬件UID保护的密钥进行加密,这个问题通过由UID和用户密码保护的密钥来加密该高速缓存的数据得以解决。”

苹果还修补了不少watchOS内核的问题,其中多涉及破坏内存的漏洞,这些漏洞会让攻击者获得内核权限然后执行代码。其中就有允许本地攻击者控制堆栈cookies。苹果还修补了内核内存泄漏的漏洞以及一个拒绝服务问题。

相比于5月份只解决了一个代码执行漏洞以及一些特权升级和拒绝服务问题,这次watchOS2以及补丁的发布更新了很多安全问题。

*参考来源:threatpost,,转载请注明来自Freebuf.COM(黑客与极客)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21264766(PV) 页面执行时间:81.329(MS)
  • xml
  • 网站地图