PCHappy

Apple iOS 存在繞過安全性限制及其他多項弱點

風險等級: 高度威脅

摘  要:

Apple iOS 存在多項弱點、漏洞等安全問題,惡意人士可透過這些安全問題,便可規避安全性限制,揭露敏感資訊, 進行跨網域程式碼 (cross-site scripting attack) 及欺騙攻擊 (spoofing), 造成 DoS(Denial of Service) 讓使用者系統受駭之安全性弱點。 目前已知會受到影響的版本為 Apple iOS 4.x (for iPhone 3GS (含)之後/ iPhone 4 (CDMA)/ iPad)、 Apple iOS 5.x (for iPhone 3GS (含)之後/ iPad)、Apple iOS 6.x (for iPhone 3GS (含)之後/ iPad / iPod touch) 之前版本。

影響系統 :

  • Apple iOS 4.x (for iPhone 3GS (含)之後/ iPhone 4 (CDMA)/ iPad)
  • Apple iOS 5.x (for iPhone 3GS (含)之後/ iPad)
  • Apple iOS 6.x (for iPhone 3GS (含)之後/ iPad/ iPod touch)

解決辦法: 手動下載安裝:

細節描述:

  1. Apple 近日發佈 Apple iOS 存在多項弱點、漏洞等安全問題,以下弱點可被有心人士利用來影響使用者的系統CoreGraphics 、CoreMedia 、ImageIO 元件存在邊界錯誤 (boundary error)
  2. IOSerialFamily 元件存在邊界錯誤,可被利用來規避安全性限制、執行任意程式碼
  3. Safari 元件存在邊界錯誤,當在處理 XML 文件時可被利用來引起記憶體損毀 (corrupt memory)、執行任意程式碼
  4. Safari 元件處理 “Content-Type: text/plain” 表頭時存在錯誤,可被利用來進行跨站腳本攻擊 (cross-site scripting attack)
  5. WebKit 元件存在多項錯誤可被利用來引起記憶體損毀的問題
  6. 核心元件當在處理 IPv6 ICMP 封包時,可被利用來引起 CPU 的高負載
  7. 核心元件當在處理某些特殊數據封包時,可被利用來引起設備重新啟動
  8. Sandbox 元件當在處理腳本時,可被用來規避沙箱限制。
  9. IPSec 、IOKit 、Kext Management 、libxml 、libxslt 、Passcode Lock 、Personal Hotspot 、Push Notifications 、Springboard 、Telephony 、Twitter 元件存在錯誤

尚有其它弱點未一一列出。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。

參考資訊:

發表留言