Macos Brawte nfaq 0 Comments

今週もセキュリティアップデートが続き、iOS、macOSなど向けに数十件の修正プログラムがリリースされました。

Table of Contents

今週もセキュリティアップデートが続き、iOS、macOSなど向けに数十件の修正プログラムがリリースされました。

Apple は、主力デバイス向けの最新のソフトウェア セキュリティ アップデートをリリースしました。

7月15日にクパチーノで行われたセキュリティアップデートには、iOS、macOS、tvOS、WatchOSのバグ修正が含まれています。つまり、クパチーノの巨人が提供するほぼすべてのハードウェア製品が対象です。今週は大量のパッチがリリースされたことを考えると、悪いニュースを隠すには良いタイミングと言えるでしょう。

iOS および iPadOS の場合、13.6 アップデートには、CVE リストに記載されている 29 件の脆弱性 (任意のコード実行に関連する 10 件) の修正が含まれています。

これらのコード実行の脆弱性のうち 4 つは、破損したオーディオ ファイルを再生することによって悪用されます (CVE-2020-9888、CVE-2020-9889、CVE-2020-9890、CVE-2020-9891、すべて Ant-financial Light-Year Security Lab の研究者である JunDong Xie 氏と XingWei Li 氏によって発見されました)。

また、AVEVideoEncoder(CVE-2020-9907、匿名の研究者による報告)、iAP(CVE-2020-9914、セキュリティ企業NCC Groupの英国ディレクター、Andy Davis氏が発見)、ImageIO(CVE-2020-9936、Trend MicroのMickey Jin氏が発見)、iOS Kernel(CVE-2020-9923、別名「Proteas」によって報告)、およびModel I/O(CVE-2020-9878、Deutsche Telekom SecurityのHolger Fuhrmannek氏が発見)を悪用することでもコード実行が可能でした。

WebKitブラウザエンジンには、3つのコード実行バグが発見されました。CVE-2020-9894(トレンドマイクロのゼロデイ・イニシアチブに所属する「0011」というエイリアスを持つ人物によるもの)、CVE-2020-9893(同じく「0011」によるもの)、そしてCVE-2020-9895(ジョージア工科大学SSLabのWen Xuによるもの)です。これらのケースでは、改ざんされたウェブページを介してリモートコード実行が可能でした。これらのリモートコード実行バグは、脱獄エクスプロイトとして現れることもあり、ハッカーはこれらの脆弱性を悪用してApp Storeのセキュリティ制限を解除しようとします。

コードのバグ

一攫千金!在宅ワーク!Appleのサインインシステムに重大な欠陥を見つけるだけで、10万ドルを簡単に稼げる

続きを読む

同じ問題の多くは macOS でも解決されており、このアップデートは Catalina 10.15.6 またはセキュリティアップデート 2020-004 (Mojave および High Sierra ユーザー向け) として知られています。

これらには、CoreAudio のコード実行バグ (CVE-2020-9866、Ant-financial Light-Year Security Lab の Yu Zhou 氏と Jundong Xie 氏による)、Catalina グラフィック ドライバーのコード実行バグ (CVE-2020-9799)、Mickey Jin 氏の Image I/O の欠陥、Holger Fuhrmannek 氏の Model I/O コード実行バグ、研究者 Alexander Holodny 氏が発見した macOS セキュリティのコード実行欠陥 (CVE-2020-9864)、および vim のコード実行バグ (CVE-2019-20807、Guilherme de Almeida Suckevicz 氏が発見) が含まれます。

厳格に管理されているWatchOS (6.2.8) およびtvOS (13.4.8) プラットフォームでは、コード実行バグの問題は軽減される見込みですが、念のためセキュリティアップデートをインストールすることをお勧めします。どちらの修正もソフトウェアアップデートツールから入手できます。

今週、IT管理者が少し不機嫌そうに見えても、それは仕方ありません。Appleのアップデートは、セキュリティ修正の激戦区である今週の最新のアップデートです。

定期的に予定されている Microsoft、Adobe、SAP の Patch Tuesday セキュリティ アップデートに加えて、Oracle からの大規模な 443 バグ パッチ バンドル、Cisco の大規模なアップデート リリース、そしてもちろん、Twitter のハッコポリプスによって人々は面白がったり恐怖を感じたりしました。

会社のネットワークセキュリティを監督するのは大変な一週間です。誰か飲み物かピザを持ってきてください。®

Macos

Smart Recommendations

Discover More