Содержание
Apple предупредила об уязвимости в системах iPhone и iPad — РБК
adv.rbc.ru
adv.rbc.ru
adv.rbc.ru
Скрыть баннеры
Ваше местоположение ?
ДаВыбрать другое
Рубрики
Курс евро на 22 декабря
EUR ЦБ: 75,09
(+1,75)
Инвестиции, 21 дек, 16:13
Курс доллара на 22 декабря
USD ЦБ: 70,53
(+1,52)
Инвестиции, 21 дек, 16:13
Что такое блокчейн и когда он появился
ПАО Сбербанк, реклама, 10:23
Шесть причин оцифровать кадровый документооборот и командировки
РБК и Trivio, 10:18
Обновленные ракетоносцы Ту-95 МСМ и Ту-22М3М поступят в ВКС в 2023 году
Политика, 10:18
adv.
rbc.ru
adv.rbc.ru
Безопасность китайского внедорожника Tank 300 проверили в краш-тестах
Авто, 10:14
Галерея «Купол» представила работы Рустама Хамдамова из частного собрания
Пресс-релиз, 10:10
Переезд в Черногорию: сложно ли россиянам обжиться в этой стране
Pro, 10:10
Военная операция на Украине. Главное
Политика, 10:08
Присоединяйтесь к Программе развития
Осваивайте востребованные навыки для карьерного роста с РБК Pro
Узнать подробнее
ФСБ сообщила о ликвидации группировки, отправлявшей боевиков на Украину
Политика, 10:01
Хешрейт биткоина восстановился после вызванного морозами падения
Крипто, 10:00
Знай клиентов и конкурентов: как развивать бизнес и управлять рисками
РБК и СберАналитика, 09:56
Новак назвал сроки уменьшения дисконта на российскую нефть
Политика, 09:52
Организатор сгоревшего приюта для пожилых в Кемерово признал вину
Общество, 09:46
О чем инвесторам говорят итоги декабрьских заседаний ключевых мировых ЦБ
Pro, 09:38
Не там, где дешевле: как контролировать цену деловых поездок сотрудников
РБК и Smartway, 09:32
adv.
rbc.ru
adv.rbc.ru
adv.rbc.ru
Уязвимость нашли в ядре и в движке для отображения веб-страниц WebKit, с ее помощью хакеры могли получить права администратора. Пользователям рекомендовали обновить системы до последних версий, проблему уже устранили
Фото: Andy Wong / AP
В операционных системах смартфонов iPhone и планшетов iPad есть уязвимость, с помощью которой хакеры могут получить «полный административный доступ» к гаджетам, говорится в отчетах компании Apple, которая производит устройства. Внимание на документы обратило агентство Associated Press.
Документы были опубликованы днем 17 августа. В компании сообщили, что обнаружить проблему помогли «анонимные исследователи», не раскрывая подробностей.
Анонимные пользователи обнаружили уязвимость в ядре операционной системы (контролирует все процессы в системе), а также в свободном движке для отображения веб-страниц WebKit. Злоумышленник, знающий о проблеме, мог получить возможность запускать приложения от имени администратора и действовать от имени владельца устройства, говорится в отчете.
adv.rbc.ru
adv.rbc.ru
Уязвимость касалась устройств: iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения), работающих на iOS 15.6.1 и iPadOS 15.6.1. В службе поддержки заверили, что проблему уже устранили: как правило, Apple публикует отчеты о найденных уязвимостях после их ликвидации в целях безопасности пользователей, заверили представители.
Эксперты, опрошенные агентством, посоветовали пользователям устройств обновить их операционные системы до последних версий. По их словам, проблема также может затрагивать компьютеры Mac под управлением MacOS Monterey.
В сентябре Apple планирует выпустить новую операционную систему для IPhone — iOS 16, а также watchOS 9 для смарт-часов, писал Bloomberg. Однако macOS Ventura (операционная система для Mac) выйдет позднее — в октябре вместе с iPadOS из-за ошибок новой системы многозадачности Stage Manager, которая будет работать на новых устройствах. В этом же месяце, 7 сентября, американская корпорация представит линейку IPhone 14 и новые модели других устройств, писало агентство. Apple эту информацию официально не подтверждала.
Магазин исследований
Аналитика по теме
«Цифровая техника»
Новые патчи от Apple закрыли возможность удаленного джейлбрейка iPhone
Главная » Новости
Solar appScreener – теперь с корреляцией результатов анализа SAST и DASTSolar appScreener помогает обеспечить контроль безопасности приложений и информационных систем, сочетая возможности статического (SAST) и динамического (DAST) анализа кода. Решение позволяет выявлять уязвимости и недекларированные возможности и в исходном коде, и в бинарном коде приложений на различных этапах разработки. Продукт поддерживает 36 языков программирования, а запатентованная технология Fuzzy Logic Engine минимизирует ложные срабатывания.Подробнее »
Татьяна Никитина 14 Декабря 2021 — 16:08
Домашние пользователи
Корпорации
macOS
iOS
Уязвимости программ
Компания Apple выпустила очередной набор обновлений безопасности для iOS, macOS, tvOS и watchOS.
В числе прочего устранены критические уязвимости в компонентах ядра ОС, позволившие участникам недавнего Tianfu Cup удаленно разлочить iPhone.
Апдейт iOS 15.2 суммарно закрывает 42 уязвимости; половина из них грозят исполнением стороннего кода. Некоторые из этих критичных ошибок были выявлены два месяца назад в ходе соревнования этичных хакеров Tianfu Cup.
Как оказалось, продемонстрированные уязвимости ядра мобильной ОС (CVE-2021-30955, CVE-2021-30927 и CVE-2021-30980) актуальны также для macOS, tvOS и watchOS. Согласно описаниям Apple, обнаруженные конкурсантами ошибки — состояние гонки, использование освобожденной памяти — позволяют с помощью вредоносного приложения выполнить в системе любой код с привилегиями ядра.
Такой же исход возможен при использовании CVE-2021-30983, CVE-2021-30985 или CVE-2021-30991, также найденных одной из китайских команд – участниц Tianfu Cup. Эти ошибки (переполнение буфера, запись и чтение за пределами буфера) появляются при подключении расширения ядра IOMobileFrameBuffer, обеспечивающего доступ к буферу кадров экрана.
Из остальных проблем, затрагивающих iPhone, примечательны CVE-2021-30932 в приложении Notes и CVE-2021-30948 во встроенном Password Manager. Обе позволяют при наличии физического доступа к устройству обойти защиту и получить конфиденциальные данные; в первом случае это список контактов в обход блокировки экрана, во втором — сохраненные пароли в обход аутентификации.
Из новых уязвимостей macOS внимания заслуживает CVE-2021-30938, связанная с работой модуля Wi-Fi. С ее помощью локальный пользователь может вызвать системный сбой и даже получить данные из памяти ядра. Наличие проблемы подтверждено для всех актуальных версий десктопной ОС, в том числе Big Sur и Catalina.
В многострадальном движке WebKit разработчик на сей раз исправил семь различных ошибок. Все они могут проявиться при обработке созданного злоумышленниками веб-контента и грозят исполнением вредоносного кода.
Следующая главная новость »
Подписывайтесь на канал «Anti-Malware» в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Жертвы рисунка: мошенники угоняют Telegram-аккаунты
Критическая уязвимость в WiFi-мостах Hikvision грозит взломом CCTV-систем
Последние обновления Windows (KB5021233) вызывают BSOD
Обзоры
Обзор Standoff 365, платформы для этичных хакеров и бизнеса
02 Декабря 2022
Аналитика
Киберугрозы и проблемы промышленных предприятий в 2022 году: как предотвратить нарушения
06 Декабря 2022
/news/2022-12-26-111332/40200
В домашних роутерах ZyXEL LTE3301-M209 нашли бэкдор (жёстко заданные креды)
Екатерина Быстрова 26 Декабря 2022 — 10:03
БэкдорыУязвимости программ Домашние пользователи Zyxel
Исследователь в области кибербезопасности, известный в Twitter как ReSolver, выявил жёстко заданные в коде учётные данные в домашних маршрутизаторах ZyXEL LTE3301-M209 LTE. Проблеме присвоили идентификатор CVE-2022-40602.
К слову, ранее ReSolver указывал на Telnet-бэкдор в роутерах D-Link DWR-921, который, судя по всему, присутствует и в ZyXEL LTE3301-M209.
«Прошивка, в сущности, представляет собой слияние трёх секций. Секция LZMA — это ядро, в 0x148CD6 находится root-fs, а в 0x90BD36 — веб-контент. Внутри последнего Squashfs присутствует интересный файл», — пишет эксперт.
После распаковки файла ReSolver обнаружил следующее содержимое:
Судя по всему, здесь имеет место наличие бэкдора в webUI. Более того, ReSolver указывает на два способа, позволяющих получить контроль над устройством:
«Распаковка config.dat выдаст логин и пароль. А в целом получить контроль над ZyXEL LTE3301 можно двумя способами:
- учётные данные webUI –> username / WebUIFakePassword;
- учётные данные telnet –> root / TelnetFakePassword».
Пользователям уязвимых маршрутизаторов необходимо как можно скорее установить последнюю версию прошивки.
Подписывайтесь на канал «Anti-Malware» в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
- Show More
404: Страница не найдена
Страница, которую вы пытались открыть по этому адресу, похоже, не существует. Обычно это результат плохой или устаревшей ссылки. Мы приносим свои извинения за доставленные неудобства.
Что я могу сделать сейчас?
Если вы впервые посещаете TechTarget, добро пожаловать! Извините за обстоятельства, при которых мы встречаемся. Вот куда вы можете пойти отсюда:
Поиск
- Узнайте последние новости.
- Наша домашняя страница содержит последнюю информацию об информационных технологиях.
- Наша страница «О нас» содержит дополнительную информацию о сайте ComputerWeekly.com, на котором вы находитесь.
- Если вам нужно, свяжитесь с нами, мы будем рады услышать от вас.
Просмотр по категории
ИТ-директор
-
10 факторов, которые изменят роль ИТ-директора в 2023 годуДа, экономика является важным фактором в том, как ИТ-директора будут выполнять свою работу в следующем году.
Инсайдеры указывают на девять других факторов, которые будут … -
Федеральная торговая комиссия (FTC) продлевает полномочия по обеспечению соблюдения антимонопольного законодательства на 2023 годОжидается, что крупные антимонопольные дела будут разыграны в 2023 году, пока федеральные регулирующие органы рассматривают новые интерпретации существующих …
-
Как уменьшить цифровой углеродный след ИТЦифровые технологии несут в себе скрытые экологические издержки, которые мало кто из лидеров имеет в виду. Узнайте, какие технологии имеют …
Инсайдеры указывают на девять других факторов, которые будут …Безопасность
-
14 главных целей программ-вымогателей в 2023 году и далееСогласно недавнему исследованию, две из трех организаций подвергались атакам программ-вымогателей за один 12-месячный период. И, пока некоторые…
-
Играйте в программы-вымогатели, обходящие средства защиты ProxyNotShellCrowdStrike призывает организации применять последние обновления Microsoft Exchange после того, как расследования выявили злоумышленников .
.. -
Риск и повторение: прогресс безопасности OT, угрозы в 2022 годуВ этом выпуске подкаста Risk & Repeat обсуждается текущее состояние безопасности OT, включая конвергенцию с ИТ-средами и…
..Сеть
-
Планирование пропускной способности беспроводной сети и требования к нейПри планировании потребности в пропускной способности беспроводной сети подсчитайте общее количество конечных точек, отслеживайте использование пропускной способности приложения и учитывайте …
-
Стоят ли инвестиции в частные беспроводные сети?Частные беспроводные сети обеспечивают больший контроль над сетями, но подходят не для каждой организации. Вот что бы…
-
Новые коммутаторы Arista поддерживают 800GbE для гиперскейлеровНовые коммутаторы Arista предоставляют больше возможностей для предприятий и более высокие скорости для гиперскейлеров, требовательных к пропускной способности.
Последний …
Последний …Центр обработки данных
-
Квантовые центры обработки данных могут быть способом будущегоКвантовые вычисления имеют большой потенциал для приложений с высокими вычислительными возможностями. Но технология все еще находится на ранней стадии, так что она может…
-
Изучите различные варианты использования озера данных и хранилища данныхОзера данных и хранилища данных хранят большие данные. При выборе озера или склада учитывайте такие факторы, как стоимость и то, что…
-
Классические и квантовые вычисления: в чем разница?Классические и квантовые компьютеры имеют много различий в своих вычислительных возможностях и рабочих характеристиках. Знай их …
Управление данными
-
Прогноз данных на 2023 год: пора извлекать больше пользыОжидайте, что в 2023 году больше организаций будут оптимизировать использование данных для принятия решений и операций, поскольку новый год будет .
.. -
Какие ключевые роли должна включать в себя группа управления данными?Эти 10 ролей с разными обязанностями обычно входят в состав групп управления данными, на которые полагаются организации…
-
8 проблем интеграции данных и как их преодолетьЭти восемь проблем усложняют усилия по интеграции данных для операционных и аналитических целей. Вот почему, а также советы о том, как…
..обновлений iOS и Google Chrome от Apple исправляют серьезные недостатки безопасности
Август был богатым месяцем на выпуск исправлений безопасности: Apple, Google и Microsoft среди фирм, выпускающих экстренные исправления для уже использованных уязвимостей. В этом месяце также появилось несколько крупных исправлений от таких компаний, как VMWare, Cisco, IBM и Zimbra.
Вот все, что вам нужно знать о важных исправлениях безопасности, выпущенных в августе.
Apple iOS 15.6.1
После двухмесячного перерыва в выпуске исправлений, за которым последовало несколько исправлений в июле, в августе Apple выпустила экстренное обновление безопасности iOS 15.
6.1. Обновление iOS исправило две уязвимости, обе из которых использовались злоумышленниками в дикой природе.
Считается, что уязвимости в WebKit (CVE-2022-32893) и ядре (CVE-2022-32894) были связаны друг с другом в атаках с серьезными последствиями. Успешная атака может позволить злоумышленнику получить контроль над вашим iPhone и получить доступ к вашим конфиденциальным файлам и банковским реквизитам.
Объединение двух недостатков «обычно обеспечивает все функциональные возможности, необходимые для установки джейлбрейка устройства», обходя почти все ограничения безопасности, наложенные Apple, написал Пол Даклин, главный научный сотрудник Sophos, в блоге, анализирующем уязвимости. Это потенциально позволит злоумышленникам «установить фоновое шпионское ПО и держать вас под всесторонним наблюдением», — пояснил Даклин.
Apple всегда избегает раскрывать подробности об уязвимостях до тех пор, пока большинство людей не обновятся, поэтому трудно понять, кто был целью атаки.
Чтобы быть в безопасности, вам следует незамедлительно обновить свои устройства до iOS 15.6.1.
Apple также выпустила iPadOS 15.6.1, watchOS 8.7.1 и macOS Monterey 12.5.1, которые вам следует обновить при первой же возможности.
Google Chrome
В августе компания Google выпустила обновление для системы безопасности, устраняющее пятую в этом году уязвимость нулевого дня. В бюллетене Google перечислил 11 уязвимостей, исправленных в августе. Патчи включают в себя ошибку использования после освобождения в FedCM, отслеживаемую как CVE-2022-2852 и оцененную как критическая, а также шесть проблем с высокой оценкой и три со средним уровнем воздействия. Злоумышленники использовали одну из высоко оцененных уязвимостей, CVE-2022-2856.
Google не предоставил никаких подробностей об использованной уязвимости, но, поскольку злоумышленники получили подробности, рекомендуется обновить Chrome сейчас.
Ранее в августе Google выпустила Chrome 104, в котором было устранено 27 уязвимостей, семь из которых были оценены как имеющие большое значение.
Google Android
Августовское исправление для системы безопасности Android было здоровенным, с десятками исправлений для серьезных уязвимостей, включая недостаток в структуре, который мог привести к локальному повышению привилегий без необходимости дополнительных привилегий. Между тем, проблема в среде мультимедиа может привести к удаленному раскрытию информации, а недостаток в системе может привести к удаленному выполнению кода через Bluetooth. Уязвимость в компонентах ядра также может привести к локальному повышению привилегий.
Исправление безопасности для Android было выпущено поздно в августе, но теперь оно доступно на таких устройствах, как линейка Google Pixel, Nokia T20 и устройства Samsung Galaxy (включая серию Galaxy S, серию Galaxy Note, серию Galaxy Fold и серию Galaxy Flip). ).
Microsoft
Августовское исправление Microsoft, выпущенное во вторник, исправило более 100 недостатков безопасности, 17 из которых оцениваются как критические.