В декабре Apple решила не отставать от Adobe и Microsoft и одновременно с ними выпустила патчи для iOS, OS X, Apple TV, Safari, а также для операционной системы своих смарт-часов — watchOS.

В Mac OS X разработчик совокупно закрыл 54 уязвимости, залатав Mavericks v10.9.5, OS X Yosemite v10.10.5, а также El Capitan сборок v10.11 и 10.11.1. Почти половина устраняемых ныне брешей чревата удаленным исполнением кода либо позволяет выполнить произвольный код при наличии локального доступа или с помощью вредоносного приложения, и все это с правами уровня ядра или системы.

Apple обновила также несколько open-source-пакетов, а именно OpenSSH, libxml2, OpenGL и apache_mod_php.

Кроме проблем с безопасностью в El Capitan был решен ряд функциональных вопросов, в частности исправлена проблема отключения устройств Bluetooth, а также ошибка, из-за которой пользователям почтового клиента Apple не удавалось удалить сообщения из учетной записи Exchange в режиме офлайн.

Версия 9.2 iOS устраняет 50 уязвимостей в мобильной ОС Apple, многие из них свойственны также OS X. В том числе пропатчены три бреши, обнаруженные китайской командой PanguTeam: несвоевременная загрузка кэша доверия в компоненте MobileStorageMounter, неудовлетворительная валидация сегментов в dyld и проблема с проверкой пути к фотофайлам в системе Mobile Backup.

Apple ценит вклад PanguTeam в повышение безопасности iOS и уже не раз устраняла уязвимости по их наводке. Так, в минувшем октябре разработчик обновил операционную систему, закрыв обнаруженные китайцами возможности для джейлбрейка iOS 9.0.

Новые бюллетени для Apple TV и Apple Watch в основном повторяют уязвимости, указанные для iOS, так как эти продукты используют многие элементы того же фреймворка.

Тринадцать уязвимостей, закрытых в Safari, присутствовали в компоненте WebKit; почти все они — баги порчи памяти. Единственное исключение составил баг, связанный с неудовлетворительной проверкой входных данных при блокировке контента; этот недочет позволял раскрыть историю браузера с помощью специально созданного сайта.

Обзор «вторника патчей» от Apple был бы неполным без упоминания Xcode — интегрированной среды разработки приложений для Mac, iPhone, iPad, Apple TV и Apple Watch. Новая версия популярного продукта в числе прочего устраняет множественные уязвимости в системе управления исходным кодом, в модуле Git и обработчике файлов формата Mach-O.

Категории: Уязвимости