Apple обновила iTunes, устранив уязвимости в SQLite, Expat

Apple обновила iTunes, устранив уязвимости в SQLite, Expat

На прошлой неделе Apple обновила iTunes для Windows и Mac, в результате было устранено более десяти уязвимостей, затрагивающих библиотеки Expat и SQLite.

ITunes 12.6 для Windows и OS X исправляет семь брешей в кросс-платформенной библиотеке SQLite и десять уязвимостей в библиотеке XML Expat. ITunes 12.6 обновляет SQLite до версии 3.15.2, выпущенной в конце ноября 2016 года, и Expat до версии 2.2.0, выпущенной в июне 2016 года.

Идентификаторы CVE, упомянутые в сообщениях Apple, показывают, что компания не обновляла эти компоненты в течение нескольких лет.

Например, CVE-2013-7443 в SQLite была исправлена в феврале 2014 года, CVE-2015-3414 устранена в апреле 2015 года, а CVE-2016-6153 в мае 2016 года. Большинство недостатков, устраненных в iTunes, можно использовать для атак, приводящих к отказу в обслуживании (DoS), но некоторые из них могут также быть причиной выполнения произвольного кода и повышения привилегий.

В случае с Expat, в сообщении Apple упоминаются некоторые бреши, которые были исправлены в марте 2012 года с выходом Expat 2.1.0. Уязвимости в Expat также могут использоваться в основном для DoS-атак, но в некоторых случаях и для выполнения произвольного кода.

Стоит отметить, что большинство обновлений iTunes, выпущенных в прошлом году, исправили уязвимости, влияющие на механизм браузера WebKit. В одном из обновлений Windows, выпущенном в июле, были исправлены недостатки библиотек libxml2 и libxslt.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Любая версия Android поможет атакующему выследить пользователя

Очередная уязвимость обнаружена на устройствах под управлением операционной системы Android. Как сообщили исследователи Nightwatch Cybersecurity, брешь позволяет злоумышленникам следить за перемещением пользователей смартфонов и планшетов.

Проблема безопасности получила идентификатор CVE-2018-9581, она затрагивает показатель уровня принимаемого сигнала (или RSSI). RSSI отвечает за измерение уровня сигнала сети и передачу этой информации другим программам.

Благодаря уязвимости в системе сторонние приложения (например, вредоносные) могут свободно получить всю необходимую информацию о сигнале. Это поможет определить, в какой точке находится пользователь атакуемого устройства относительно маршрутизатора.

Эксперты протестировали следующие устройства: Pixel 2, Nexus 6P, Moto G4, Kindle Fire HD (8 gen). В Nightwatch Cybersecurity утверждают, что этой уязвимости подвержены все версии Android.

С полной версией исследования можно ознакомиться по этой ссылке.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru