Apple выпустила исправления безопасности для iOS и OS X

Компания Apple выпустила исправления безопасности  iOS 8.2  и  Security Update 2015-002  для мобильных устройств на базе операционной системы iOS и ПК, работающих под управлением OS X. В обоих исправлениях устранен ряд критических брешей, в том числе недавно обнаруженная уязвимость FREAK.

Брешь,  содержащаяся  в протоколах SSL/TLS, позволяла злоумышленнику осуществлять перехват HTTPS-соединений и ослабить защиту шифрования, благодаря чему преступник мог похищать важные данные, такие как cookie-файлы и финансовую информацию. Уязвимость затрагивает браузер Safari для iOS и OS X, а также другие приложения компании, использующие SecureTransport.

Помимо вышеуказанной бреши была исправлена уязвимость «человек посередине» ( CVE-2015-1065 ), обнаруженная специалистом ИБ-компании NowSecure Андреем Беленко. Эксплуатация бреши позволяла атакующему перехватывать соединения между Apple iCloud и машиной Mac под управлением Yosemite, а также выполнить вредоносный код на целовом компьютере или устройстве.

Также исправлена уязвимость (CVE-2015-1061), вызванная ошибкой, связанной с IOSurface и обработкой сериализированных объектов. Удаленный пользователь может выполнить произвольный код на целевой системе.

В iOS 8.2 дополнительно исправлены несколько уязвимостей для устройств на базе iOS (iPhone 4S и выше, 5 поколение iPod Touch и выше, а также iPad 2 и более новые версии), в том числе брешь CVE-2015-1062, позволяющая выполнить произвольный код на целевой системе и CVE-2015-1064, позволяющая пользователю создавать папки в доверенных директориях.

Security Update 2015-002 для OS X содержит исправления уязвимости FREAK, а также брешей в iCloud и IOSurface. Патч дополнительно содержит исправление проблемы ( CVE-2015-1066 ) в инструменте IOAcceleratorFamily, позволяющей локальному пользователю повысить привелегии на целевой системе.