Apple цього тижня випустила оновлення безпеки для виправлення більш ніж півсотні уразливостей, що містяться в macOS та Safari. Про це пише SecurityWeek.
Загалом 44 помилки безпеки були виправлені з випуском macOS Catalina 10.15.5. Виправлення стосується таких компонентів, як Accounts, AirDrop, Audio, Bluetooth, Calendar, ImageIO, Kernel, ksh, PackageKit, Sandbox, SQLite, USB Audio, Wi-Fi , і zsh, серед інших.
Вісімнадцять з цих уразливостей характерні для macOS Catalina, але інші також актуальні для macOS High Sierra та macOS Mojave, тому патчі безпеки були випущені і для цих ітерацій платформи. Крім того, Apple виправила ще дві вразливості, які впливають лише на MacOS Mojave, а також ще дві, які впливають на macOS Mojave та macOS High Sierra.
Найбільше “відзначився” компонент Kernel, який отримав патчі для 10 уразливостей, що були присутні у ньому. Наступним на черзі був Wi-Fi з виправленнями для 5 вразливих місць. Використання цих уразливостей зловмисниками могло призвести до відмови в обслуговуванні, обходу обмежень “пісочниці”, витоку приватної інформації, виконання довільного коду, розшифровки інформації користувача, підвищення привілею, виходу з “пісочниці”, витоку оперативної пам’яті, виконання довільних команд графічної оболонки та обходу налаштувань конфіденційності , серед інших. Усі ці помилки безпеки були виправлені з випуском macOS Catalina 10.15.5, оновленням безпеки 2020-003 для Mojave та оновленням безпеки 2020-003 для High Sierra.
Apple також виправила 10 уразливостей у браузері Safari версії 13.1.1, яка тепер доступна для macOS Mojave та macOS High Sierra та включена в macOS Catalina. Одна з цих помилок може призвести до запуску зловмисного процесу, який призведе до прихованого запуску програми Safari. Решта дев’ять недоліків безпеки стосується Webkit і можуть призвести до довільного виконання коду, крос-скриптування або витоку оперативної пам’яті.
На цьому тижні технологічний гігант також представив Windows Migration Assistant версії 2.2.0.0 для macOS Catalina, де виправлено уразливість довільного виконання коду. Також загалом 12 уразливостей були виправлені у випуску iCloud для Windows, включаючи довільне виконання коду, відмову в обслуговуванні та проблеми міжсайтового сценарію. Доступні дві ітерації програми, а саме: версія 11.2 для Windows 10 та пізнішої версії через Microsoft Store та версія 7.19 для Windows 7/8/8.1
Нова серія оновлень була випущена приблизно через тиждень після випуску патчів для iOS, tvOS, watchOS та Xcode.
Минулого тижня в iOS 13.5 та iPadOS 13.5 були виправлені більше 40 вразливостей, але принаймні один недолік безпеки залишився невиправленим, що дозволило команді, що стоїть за популярним інструментом jailbreak unc0ver, включити експлойт, що використовує цю вразливість, у своєму останньому випуску джейлбрейка.
У попередженні, опублікованому у вівторок, Координаційний центр CERT попередив, що ця невстановлена вразливість знаходиться в ядрі iOS і що вона може дозволити будь-якій шкідливій програмі досягти несанкціонованого виконання коду на рівні ядра.
“Цю уразливість використовує опублікований недавно джейлбрейк unc0ver 5.0, яка підтримує всі пристрої від iOS 11 до 13.5, за винятком версій 12.3-12.3.2 та 12.4.2-12.4.5. Також повідомляється, що цей джейлбрейк працює на сучасних пристроях iOS, які використовують процесор, який підтримує код автентифікації вказівника (PAC), що вказує на те, що PAC не перешкоджає експлуатації цієї вразливості “, – йдеться в повідомленні.
Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ВИКОРИСТОВУВАТИ FACE ID НА СВОЄМУ IPHONE ПІД ЧАС НОСІННЯ МАСКИ? – ІНСТРУКЦІЯ
ЯК ЗАХИСТИТИ GOOGLE ДИСК ЗА ДОПОМОГОЮ TOUCH ID АБО FACE ID?
ЯК ЗАБОРОНИТИ GOOGLE СТЕЖИТИ ЗА ВАМИ ЧЕРЕЗ WI-FI?
ЯК ВІДПРАВЛЯТИ SMS З КОМП’ЮТЕРА НА ТЕЛЕФОН? – ІНСТРУКЦІЯ ДЛЯ ANDROID
Нагадаємо, після встановлення оновлення Windows 10 May 2019 Update і November 2019 Update перестають працювати звукові карти, з’являється “синій екран смерті” або виникають проблеми з тимчасовим профілем користувача, а в процесі встановлення з’являються неінформативні повідомлення про помилку.
Також у поштовому сервісі Gmail з’явилася нова функція Google Meet – відтепер Ви можете з’єднуватись зі своїми рідними, друзями, колегами чи знайомими за допомогою відеоконференцзв’язку, не виходячи з пошти. Якщо до Вашого комп’ютера під’єднана відеокамера, достатьно буде натиснути кілька разів, щоб розпочати відеочат.
Хоча Microsoft Office все ще є розповсюдженим вибором для обробки текстів, презентацій слайд-шоу, обчислень електронних таблиць та багатьох інших цифрових завдань, є ще безліч безкоштовних альтернатив.
Зверніть увагу, що за допомогою протоколу віддаленого робочого стола (RDP) адміністратори мережі можуть відкрити користувачам порти для загального доступу через Інтернет до робочих документів з домашнього комп’ютера. Але це становить небезпеку, адже таким чином хакери можуть їх виявити та атакувати.
Окрім цього, інструмент віддаленого доступу з функціями бекдору під назвою Mikroceen використовують у шпигунських атаках на урядові структури та організації в галузі телекомунікацій та газовій промисловості Центральної Азії. Зловмисники могли отримати довгостроковий доступ до інфікованих мереж, маніпулювати файлами та робити знімки екрану.