原始的照片Hannu Viitanen

综合Apple的最新安全更新

修复严重问题 - 立即更新

上周,Apple发布了iOS 10.3.3.还有桌面操作系统的安全更新,Sierra,El Capitan和Yosemite.随时都有安全更新,有很多好理由将它立即安装,但是这次,我们认为这些问题足以保证博客帖子和休息。我们鼓励朋友和家人立即更新,我们也鼓励您做到这一点。

以下是Apple最近批次更新中的关键问题的分解。

此批处理中的最令人恐怖的问题涉及影响Mac和iOS设备的“Broadpwn”WiFi漏洞。关于如何利用此漏洞的完全披露是这周就要来了并将允许攻击者靠近受害者接管他们的WiFi卡并在其上安装自定义软件。

在某种程度上,这是令人担忧的,因为你不能把坏软件从硬盘上删除。更糟糕的是,没有简单的方法来修复损坏的WiFi芯片或甚至知道它被黑了。这就像是进入你的电脑的秘密据点。

笔记:这个问题也会影响一些使用Broadcom芯片的Android设备。

注2这句话的意思是:如果你清空了旧的Mac电脑,在上面安装了Linux操作系统,你就麻烦了,因为似乎没有办法升级它无线上网提醒自己:留一个小的Mac分区在未来。

要让iCloud Keychain Sync在不同设备之间共享存储的密码和信用卡,有个坏消息。研究人员注册了一个假设备,然后获得所有这些秘密在纯文本。坦率地说,最好是把这个功能关掉。

虽然它很方便,但转向这是有风险的

指示:

  • 在ios.:打开设置,点击顶部的名称,然后在iCloud上滚动到keychain。如果它说“开”,请单击“打开”并将其关闭。出现提示时将数据保存在设备上。
  • 在麦克斯:转到左上角的Apple菜单,单击“系统首选项”,单击“iCloud”,向下滚动并确保未选中钥匙扣。

对于Mac,有三个问题会导致使用系统或内核特权执行任意代码。根据相关的漏洞国家漏洞数据库,这些数据库可以由您的计算机附近的人利用,无需任何身份验证。复杂性得分低(意味着易于执行),影响得分高(意味着系统妥协)。这里的节省恩典是需要用户交互,这意味着您可能会通过意想不到的消息或弹出窗口获得攻击的警告。

几乎所有苹果的产品线,包括tvOS、watchOS、iOS和macOS都面临一个问题,即恶意USB设备可能会控制电脑。这是大多数安全专业人士所认为的——你插入电脑的任何设备都会获得一定程度的信任,而你不想让攻击者知道。因此,你应该永远不要插入不是自己购买的USB设备,不要在会议上使用USB设备,不要忽略你所获得的任何USB设备随机的邮件.根据您的偏执程度和计算机的物理安全性,您可能想检查一下亚马逊上的USB端口拦截器

macOS和iOS上有五个涉及恶意音频或视频文件的漏洞。

目前尚不清楚是否浏览了对导致恶意音频或视频来播放的网页可以触发这些漏洞,因此最好假设这种情况。禁用音频和视频的自动播放,看看这篇文章使用Safari的说明和用于其他浏览器的插件的链接(注意:在做任何事情之前通过更新部分读取)。对于Safari,您想要的终端命令是:

默认值写com.apple.safari webkitmediaplaybackallowsinline -bool false默认写com.apple.SafariTechnologyPreview WebKitMediaPlaybackAllowsInline -bool false默认值写com.apple.safari com.apple.safari.contentpagegroupidentifier.webkit2allowsinlemediaplayback -bool false默认写com.apple. safaritechnologiypreview com.apple.Safari.ContentPageGroupIdentifier。WebKit2AllowsInlineMediaPlayback bool假

国家漏洞数据库保留了这个漏洞的公开号码,但目前我们找不到任何信息,苹果的安全问题修复列表中也没有发现谁发现了这个问题。然而,iphone和ipad的WiFi和Cellular都受到了影响,这是在“电话”的标题下,所以我们预计问题是特定于WiFi通话功能。

当覆盖范围很差时,WiFi呼唤很棒,但是当您在不受信任的网络上时,它也会攻击可能的攻击,例如在咖啡店。

苹果公司是这样说这个漏洞的:

特权网络位置中的攻击者可能能够执行任意代码。

我们认为,这意味着本地WiFi网络上的攻击者可以破坏呼叫数据,从而使连接到网络的iOS设备受到威胁。

现在,如果你安装了更新,我们不认为留下WiFi通话有什么问题。

在MacOS上固定了一个令人惊讶的25个与野生动物园相关的漏洞,另外26(许多重叠)固定在iOS上。如果用户导航到恶意网站或被托管恶意广告的可信站点,则这些导致这些导致任意代码执行。现在使用这些广告拦截器并更新Safari。

Apple的图形电源管理和英特尔的显卡驱动程序总共具有7个Mac漏洞。没有更多细节。

通过我们的计数,MacOS内核中有十个固定漏洞,9中的9个在IOS内核(其中一些重叠)中,其中大部分都导致任意代码执行以及其中一些泄漏信息。关于这些或者是否可以远程触发问题的细节几乎零细节,因此在此时更新是您在此处的最佳保护。

如何更新

在ios.:转到设置 - >常规 - >软件更新

在麦克斯:进入屏幕左上角的Apple图标,然后进入App Store,然后点击Updates选项卡。

结论:去更新

当安全补丁出来时更新设备总是一个好主意,但它也很容易推迟。没有人希望他们的电话或手表或笔记本电脑无限期地无法进入,但你可以看看它是阅读古老的杂志或书籍,徒步旅行,冥想或与朋友和家人交谈的伟大借口。因为这很重要,问题是严重的,我们期望有关如何利用一些这些漏洞的信息来迫切。

别忘了你的苹果电视。

关于构建安全的提示、技巧、指针和透视图…

多亏了麦迪逊soucie.鲍勃墙

写的

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。倡导隐私和安全。CEO Ironcore实验室。

咸哈希

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

写的

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。倡导隐私和安全。CEO Ironcore实验室。

咸哈希

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

媒介是一个开放的平台,17亿读者来寻找洞察力和动态的思维。在这里,专家和未被发现的声音相似地潜入任何主题的核心,并将新的想法带到表面上。学到更多

遵循对您有关的作家,出版物和主题,您将在您的主页和收件箱中看到它们。探索

如果你有故事要讲,有知识要分享,有观点要提供,欢迎回家。发布你对任何话题的想法都是很容易和免费的。开始博客

获取媒体应用程序

一个按钮,称“在App Store上下载”,如果点击它将导致您到iOS App Store
一个按钮,上面写着“Get it on,谷歌Play”,如果点击它,你就会进入谷歌Play商店