This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

المطبات التفاح التشغيل iOS 6.0.1 ل، ويحدد مجموعة مثيرة للاهتمام من البق

Filed Under: Apple, Featured, iOS, Vulnerability

إذا كان لديك جهاز أبل التي هي قادرة على تشغيل دائرة الرقابة الداخلية 6، قد قاومت لك الارتقاء به بعد سماع الناس يشتكون من تطبيق آبل تعيين جديد.

ولكن يجب عليك أن أمسك بكلتا يديه عليه لأسباب أمنية : دائرة الرقابة الداخلية 6 مصححة ل197 ضخم CVE-مرقمة نقاط الضعف في مكونات النظام 41، موزعة على النحو التالي:

  • 6 الأمن يتجاوز
  • 1 الحرمان من مشكلة الخدمة (دوس)
  • التصعيد امتياز 1
  • 15 قضية تسرب البيانات
  • 11 تنفيذ التعليمات البرمجية عن بعد (RCE) الثقوب
  • عيوب خداع 7

الآن هناك أربعة أسباب أكثر للحصول على دائرة الرقابة الداخلية على 6 إذا كنت لا تزال واحدة من المعاقل نادرة.

البق الثابتة ما يلي:

  • A قضية تسرب البيانات النواة، عن طريق إقناع التي يمكن نواة للكشف عن معلومات حول أي رمز ما كان في العنوان. وهذا قد لا يبدو ذلك كثيرا، ولكنه يفسد التعشية تخطيط مساحة العنوان (ASLR).

→ إذا كان كل ما يمكن أن تفعله مع الضعف هو جعل وحدة المعالجة المركزية للانتقال إلى عنوان ذاكرة، عليك أن تعرف مسبقا ما تعالج في الاختيار. وإلا فإن استغلال بك ربما يتلف الجهاز فقط، لا تأخذ أكثر من ذلك. ويهدف عمدا إلى ASLR تجعل من الصعب بالنسبة لك أن تعرف إلى أين تذهب، مما يساعد على تحويل RCE مآثر (تعطل والحفاظ على التحكم) في جرعات (تعطل ويحرق بها).

  • A الالتفافية رمز المرور، مما يسمح للمع إمكانية الوصول إلى التطبيق الخاص بك حتى بعد دفتر تأمين جهازك.

→ منذ دفتر كوبونات يمكن تخزين وتفاصيل برنامج ولاء وبطاقات الصعود إلى الطائرة حتى شركات الطيران، بعد أن دفتر الخاص مقفلة حتى عندما تخوض جهازك يعرض واضحة بدلا خطر الأمن الشخصي.

  • العيوب اثنين في RCE بكت، جوهر أي ويب التطبيق التصفح على أي iDevice.

ويمكن أن تظهر → واحدة من هذه الحشرات بواسطة الجافا عمدا، المراوغة، والآخر من قبل SVG-ببراعة أنب (الرسومات الموجهة للتحجيم) الملف. وتعتبر هذه الأنواع من درجة عالية من الضعف cybercrooks، كما يمكن استخدامها لمن سيارة العدوى. حيث ان مجرد زيارة صفحة يمكن خداع المتصفح إلى تشغيل البرمجيات الخبيثة، دون انتظار لك من خلال النقر على أي تحذيرات أمنية.

فإنه يوجد لديك. أربعة أسباب وجيهة لدائرة الرقابة الداخلية 6.0.1.

ويمكن الاطلاع على writeup التفاح في قاعدة المعرفة المادة HT5567 .

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog