苹果在12月10日
发布了一系列针对
macOS ,
iOS (包括iPadOS)和
watchOS的补丁。 已关闭的漏洞中最危险的漏洞可能是FaceTime漏洞,它会影响从iPhone 6s和iPad Air 2开始的所有Apple移动设备。与
WhatsApp中最近发现的
漏洞一样 ,该问题在传入视频文件的处理系统中发现:恶意视频可能导致执行任意代码。 CVE-2019-8830漏洞由Google Project Zero团队的研究员Natalie Silvanovich发现:去年,她详细撰写了有关即时通讯程序(包括FaceTime)的安全性的信息(您可以从
一年前的
文章开始,其中包含应用程序中先前发现的漏洞的示例)。
研究人员Kishan Bagaria
发现了另一个漏洞:他发现将文档发送到附近的Apple设备不断导致拒绝服务。 为此,必须在iPad或iPhone上启用通过AirDrop机制从任何人(而不仅仅是从联系人列表中的用户)接收文件的功能。 该错误被称为AirDoS:最重要的是,必须接受或拒绝接收文件的请求,并且在此操作完成之前,移动设备上的其他控件不可用。 如果您不断发送请求,则平板电脑或智能手机实际上无法正常工作。 通过引入尝试次数限制,该错误已在iOS 13.3中被关闭:如果您连续三次拒绝请求,则随后所有从同一设备发送文件的尝试都会被自动阻止。
在英特尔处理器中发现并关闭了一个有趣的错误(
新闻 ,制造商
公告 ,漏洞
站点 )。 来自奥地利,比利时和英国的大学的研究人员找到了一种方法来破坏
Software Guard Extensions机制-它为关键数据(例如加密密钥)提供了额外的保护,将它们与系统中的其他进程隔离开来。 骇客方法的选择是不平凡的:修改负责功耗的处理器寄存器。 在正常情况下,它们用于提高性能或在标准处理器设置之外节省更多能源。
研究人员证明,在正确的时间大幅降低电压(例如,Core i3-7100U处理器的电压为-232 mV或Core i7-8650U的电压为-195 mV)会导致SGX发生故障并导致数据损坏:在损坏的地方,为访问原本无法访问的数据打开了机会。 例如,专家演示了使用RSA和AES算法提取加密密钥的方法。
与这种类型的攻击通常一样,为更改参数选择正确的电压和力矩并不容易。 此外,这种真正的攻击虽然可以远程执行(这对于硬件漏洞而言并不常见),但需要完全访问操作系统。 否则,您将无法获得处理器的参数。 在这种情况下,关闭漏洞意味着更新微码,该更新仍必须以BIOS更新的形式进入真实设备(第六代的所有Intel Core用户处理器均受到影响,某些Xeon受到影响)。
卡巴斯基实验室(Kaspersky Lab)已发布有关2019年网络威胁的
完整报告 (注册后可获得,
本新闻简要概述)。 该报告中特别令人关注的是恶意软件中实际使用的漏洞列表。 与理论上的漏洞不同,这些漏洞是一种特殊的威胁,需要立即进行软件更新。 但是,对于最流行的漏洞,已有超过一年的更新可用。 此列表的顶部是Microsoft Office公式编辑器中的两个漏洞
CVE-2017-11882和
CVE-2018-0802 。 五个最常用的错误通常与Microsoft Office有关。 一个新的漏洞示例是3月发现的CVE-2019-0797错误,当时该
漏洞已被恶意攻击
利用 。
还发生了什么:在WordPress的两个加载项
中发现了严重
漏洞 :Beaver Builder的Ultimate Addons和Elementor的Ultimate Addons。 为了进行操作,您只需要知道站点管理员的邮件地址即可。
Windows的另一个零日漏洞(从7到10,Windows Server从2008年开始)已于12月的补丁
关闭 。 该错误在win32k.sys系统库中找到,它还包含前面提到的漏洞CVE-2019-0797。
在新版本的Google Chrome 79中
,关闭了两个严重漏洞,同时,出现了一个新的标准警报,提示使用受损的登录密码对。 该选项以前可以作为扩展使用。
Adobe Reader和Adobe Acrobat中
关闭了14个关键漏洞。 加上两个漏洞,这些漏洞导致在Adobe Photoshop中执行任意代码。
Firefox附加开发人员现在
需要使用两要素授权。 通过这种方式,Mozilla试图降低对供应链的攻击风险:在这种情况下,我们考虑了一种情况,即在对开发人员的计算机进行黑客攻击后,将恶意代码插入到合法扩展中。