Apple исправляет 10 ошибок iPhone, 4 ошибки QuickTime
Вчера Apple выпустила пару обновлений, которые исправили 10 уязвимостей в своем программном обеспечении iPhone и четыре в своей программе QuickTime player.
Один из 10 недостатков в программном обеспечении iPhone был связан с ошибкой, которую Apple исправила в спешке в июле прошлого года, всего через день после того, как исследователи безопасности показали, как хакеры могут захватить iPhone с помощью серии вредоносных текстовых сообщений.
Обновление среды исправило уязвимость в телефонной службе iPhone, которую злоумышленники могли использовать для нарушения обмена текстовыми сообщениями SMS (Short Message Service) на смартфоне, говорится в сопроводительном документе Apple по безопасности. Apple приписала Чарли Миллеру из независимых экспертов по оценке безопасности и Колину Муллинеру из Технического университета Берлина сообщение о дефекте.
В конце июля Миллер и Муллинер продемонстрировали более серьезную уязвимость SMS на конференции Black Hat security conference, показав, как хакеры могут отправлять внешне безвредные текстовые сообщения, включая сообщения, которые владелец iPhone никогда не видит, чтобы молча управлять функциями смартфона, такими как его камера или микрофон.
Apple устранила эту ошибку в обновлении с одним патчем, выпущенном 31 июля.
"Это была другая ошибка [чем июльская]",-сказал Миллер в обмене электронной почтой. -Мы раскрыли это в Black Hat, но не предупредили Apple заранее, так как это было довольно незначительно. Это был всего лишь DoS [отказ в обслуживании] и даже не прерывал звонки."
На презентации Black Hat, которую Миллер и Муллинер провели в июле, Миллер сказал, что, по его мнению, в iPhone было больше ошибок SMS; пара смогла протестировать только небольшое подмножество возможных сценариев.
Только две из 10 уязвимостей, исправленных Apple с помощью iPhone 3.1, были классифицированы как критические. Хотя Apple не ранжирует и не оценивает недостатки, как другие производители, она использует формулировку "выполнение произвольного кода" для обозначения уязвимостей, которые могут быть использованы злоумышленниками для получения полного контроля над iPhone.
Из двух критических недостатков первый может быть вызван фальсифицированными аудиофайлами, в то время как второй может быть использован через вредоносный веб-сайт, предназначенный для использования ошибки в WebKit, движке рендеринга, который питает браузер Safari iPhone. Четыре из 10 уязвимостей связаны с WebKit.
Другие уязвимости потенциально могли раскрыть учетную запись электронной почты владельца iPhone Microsoft Exchange, позволить несанкционированному доступу к удаленным электронным письмам или предположительно заблокированному iPhone или раскрыть конфиденциальную информацию на смартфоне.
У Apple и раньше были проблемы с функцией блокировки паролей iPhone. В августе 2008 года исследователь обнаружил ошибку, которая позволила пользователям обойти защищенную паролем блокировку, появившуюся в iPhone 2.0 . Apple быстро подтвердила ошибку и исправила ее через месяц.
Пользователи могут переждать интервал обновления-iTunes автоматически проверяет серверы обновлений Apple один раз в неделю-или получить iPhone 3.1 вручную, выбрав пункт "Проверить наличие обновлений" в меню справки iTunes, а затем закрепить iPhone на ПК или Macintosh.
Apple также обновила QuickTime для Mac и Windows до версии 7.6.4, исправив четыре критических недостатка.
Согласно рекомендациям Apple все четыре уязвимости связаны с обработкой QuickTime форматов файлов, что является общей причиной проблем игрока. Две из этих уязвимостей были связаны с неправильным синтаксическим анализом видеофайлов H. 264, а остальные - с проблемами обработки видеофайлов MPEG-4 и файлов изображений FlashPix.
"Это те ошибки, которые можно было бы ожидать от QuickTime", - сказал Эндрю Штормс, директор по операциям безопасности в nCircle Network Security, повторяя комментарии, регулярно сделанные экспертами о способности QuickTime скрывать недостатки формата файлов.
Две из четырех уязвимостей были сообщены Apple программой bug bounty от 3Com TippingPoint, Zero Day Initiative (ZDI). Три месяца назад , когда Apple в последний раз исправляла QuickTime, шесть из 10 недостатков были зарегистрированы программой ZDI.
Обновление понедельника стало третьим в этом году для Apple для плеера, который был исправлен против 21 уязвимости до сих пор в 2009 году; в прошлом году Apple исправила 30 ошибок QuickTime.
Обновление до QuickTime 7.6.4, однако, отключит функциональность QuickTime Pro версий более ранних, чем v. 7, Apple признала в отдельном документе поддержки. Например, пользователям QuickTime 6 Pro необходимо будет купить код активации QuickTime 7 Pro за $ 29.99, чтобы восстановить потерянные функции при обновлении до версии 7.6.4.
Пользователи Mac могут перейти на QuickTime 7.6.4 с помощью встроенной функции обновления программного обеспечения операционной системы, в то время как пользователи Windows могут либо загрузить новый QuickTime с сайта Apple, либо использовать дополнительный инструмент обновления Windows.
Дата публикации: Один из 10 недостатков в программном обеспечении iPhone был связан с ошибкой, которую Apple исправила в спешке в июле прошлого года, всего через день после того, как исследователи безопасности показали, как хакеры могут захватить iPhone с помощью серии вредоносных текстовых сообщений.
Обновление среды исправило уязвимость в телефонной службе iPhone, которую злоумышленники могли использовать для нарушения обмена текстовыми сообщениями SMS (Short Message Service) на смартфоне, говорится в сопроводительном документе Apple по безопасности. Apple приписала Чарли Миллеру из независимых экспертов по оценке безопасности и Колину Муллинеру из Технического университета Берлина сообщение о дефекте.
В конце июля Миллер и Муллинер продемонстрировали более серьезную уязвимость SMS на конференции Black Hat security conference, показав, как хакеры могут отправлять внешне безвредные текстовые сообщения, включая сообщения, которые владелец iPhone никогда не видит, чтобы молча управлять функциями смартфона, такими как его камера или микрофон.
Apple устранила эту ошибку в обновлении с одним патчем, выпущенном 31 июля.
"Это была другая ошибка [чем июльская]",-сказал Миллер в обмене электронной почтой. -Мы раскрыли это в Black Hat, но не предупредили Apple заранее, так как это было довольно незначительно. Это был всего лишь DoS [отказ в обслуживании] и даже не прерывал звонки."
На презентации Black Hat, которую Миллер и Муллинер провели в июле, Миллер сказал, что, по его мнению, в iPhone было больше ошибок SMS; пара смогла протестировать только небольшое подмножество возможных сценариев.
Только две из 10 уязвимостей, исправленных Apple с помощью iPhone 3.1, были классифицированы как критические. Хотя Apple не ранжирует и не оценивает недостатки, как другие производители, она использует формулировку "выполнение произвольного кода" для обозначения уязвимостей, которые могут быть использованы злоумышленниками для получения полного контроля над iPhone.
Из двух критических недостатков первый может быть вызван фальсифицированными аудиофайлами, в то время как второй может быть использован через вредоносный веб-сайт, предназначенный для использования ошибки в WebKit, движке рендеринга, который питает браузер Safari iPhone. Четыре из 10 уязвимостей связаны с WebKit.
Другие уязвимости потенциально могли раскрыть учетную запись электронной почты владельца iPhone Microsoft Exchange, позволить несанкционированному доступу к удаленным электронным письмам или предположительно заблокированному iPhone или раскрыть конфиденциальную информацию на смартфоне.
У Apple и раньше были проблемы с функцией блокировки паролей iPhone. В августе 2008 года исследователь обнаружил ошибку, которая позволила пользователям обойти защищенную паролем блокировку, появившуюся в iPhone 2.0 . Apple быстро подтвердила ошибку и исправила ее через месяц.
Пользователи могут переждать интервал обновления-iTunes автоматически проверяет серверы обновлений Apple один раз в неделю-или получить iPhone 3.1 вручную, выбрав пункт "Проверить наличие обновлений" в меню справки iTunes, а затем закрепить iPhone на ПК или Macintosh.
Apple также обновила QuickTime для Mac и Windows до версии 7.6.4, исправив четыре критических недостатка.
Согласно рекомендациям Apple все четыре уязвимости связаны с обработкой QuickTime форматов файлов, что является общей причиной проблем игрока. Две из этих уязвимостей были связаны с неправильным синтаксическим анализом видеофайлов H. 264, а остальные - с проблемами обработки видеофайлов MPEG-4 и файлов изображений FlashPix.
"Это те ошибки, которые можно было бы ожидать от QuickTime", - сказал Эндрю Штормс, директор по операциям безопасности в nCircle Network Security, повторяя комментарии, регулярно сделанные экспертами о способности QuickTime скрывать недостатки формата файлов.
Две из четырех уязвимостей были сообщены Apple программой bug bounty от 3Com TippingPoint, Zero Day Initiative (ZDI). Три месяца назад , когда Apple в последний раз исправляла QuickTime, шесть из 10 недостатков были зарегистрированы программой ZDI.
Обновление понедельника стало третьим в этом году для Apple для плеера, который был исправлен против 21 уязвимости до сих пор в 2009 году; в прошлом году Apple исправила 30 ошибок QuickTime.
Обновление до QuickTime 7.6.4, однако, отключит функциональность QuickTime Pro версий более ранних, чем v. 7, Apple признала в отдельном документе поддержки. Например, пользователям QuickTime 6 Pro необходимо будет купить код активации QuickTime 7 Pro за $ 29.99, чтобы восстановить потерянные функции при обновлении до версии 7.6.4.
Пользователи Mac могут перейти на QuickTime 7.6.4 с помощью встроенной функции обновления программного обеспечения операционной системы, в то время как пользователи Windows могут либо загрузить новый QuickTime с сайта Apple, либо использовать дополнительный инструмент обновления Windows.
Автор: Keylogger.Org Команда
