Xakep #305. Многошаговые SQL-инъекции
Apple
Первыми на этой неделе обновления представили разработчики Apple. Компания устранила десятки уязвимостей в iOS, macOS, Safari и приложениях для Windows.
С релизом iOS 12.1.1 в мобильной операционной системе компании были исправлены 20 багов, в том числе в составе Airport, Disk Images, FaceTime, File Provider, ядре, Profiles, Safari и WebKit. Больше всего дырок «залатали» в WebKit (6 уязвимостей), а за ним следуют ядро и Safari, с 5 и 4 багами, соответственно.
Среди исправленных проблем были удаленное исполнение произвольного кода, повышение привилегий, раскрытие информации, DoS и так далее. В частности, в iOS была устранена проблема, найденная в октябре ИБ-специалистом Хосе Родригесом (Jose Rodriguez). Напомню, что баг позволял обойти блокировку экрана iPhone и просматривать контакты владельца уязвимого устройства.
В составе macOS Mojave 10.14.2 исправлены 13 уязвимостей, в том числе в Airport, AMD, Carbon Core, Disk Images, Intel Graphics Driver, IOHIDFamily, ядре и WindowServer.
Также сразу 9 патчей получил и браузер Safari (шесть проблем касались WebKit); для tvOS 12.1.1 были выпущены 14 заплаток (уязвимости найдены в Airport, Disk Images, ядре, Profiles, и WebKit); и обновления получили iTunes 12.9.2 для Windows и iCloud для Windows, в которых исправили 8 брешей безопасности.
Декабрьский набор обновлений для Android включает в себя патчи более чем для 50 уязвимостей.
Больше всего опасных проблем (четыре критических уязвимости и три уязвимости высокой серьезности) в этом месяце нашли в Media Framework. К примеру, одна из проблем допускала удаленное исполнение произвольного кода в контексте привилегированного процесса. Исправления были включены в состав патча уровня 2018-12-01.
Патч уровня 2018-12-05 включает в себя «заплатки» еще для 36 проблем. Семь из них получили статус опасных и затрагивают System, компоненты HTC, ядра и Qualcomm. Все прочие 29 багов (5 критических и 24 высокой серьезности) касаются исключительно закрытых компонентов Qualcomm.
Кроме того, для устройств Pixel и Nexus вышел отдельный патч, исправляющий уязвимость с умеренной степенью риска в компонентах Qualcomm.