苹果公司推出了其最新的操作系统,MacOS的塞拉利昂10.12,周二和除新的和有趣的功能,它有大量的重要的安全补丁。
新的操作系统补丁65个漏洞在不同的核心和第三方组件。其中一些漏洞是至关重要的,可以导致任意代码执行内核的权限。
缺陷,允许与内核或系统权限被固定在苹果公司的HSSPI支持组件,AppleEFIRuntime,AppleMobileFileIntegrity,AppleUUC,蓝牙堆栈,DiskArbitration,英特尔图形驱动程序,该IOAcceleratorFamily和IOThunderboltFamily,在S2相机,安全的本地应用程序来执行恶意代码服务和内核本身。
在WindowsServer中修补的漏洞也可以通过本地用户利用来获得root权限。
除了这些缺陷,这就要求攻击者必须通过一个帐户或应用程序的本地接入,苹果修补漏洞,这些漏洞可能允许远程攻击。
例如,在音频分量的缺陷能够被远程利用执行任意代码,而内核漏洞可能允许攻击者远程触发拒绝服务的条件。在Apache Web服务器中的一个缺陷,可以通过任意服务器,另一个在Kerberos V5 PAM模块中可能允许攻击者枚举账号远程利用代理业务。
除了MacOS的塞拉利昂10.12,这是可以作为OS X埃尔卡皮坦10.11.6更新在支持的设备,苹果还发布了Safari 10较早OS X版本。此版本的Safari也修复漏洞26,其中许多可以通过恶意网页内容被利用来实现远程执行代码。
苹果将继续推出针对OS X埃尔卡皮坦和运行OS X Yosemite的安全更新,即使用户没有升级到MacOS的塞拉利昂。然而,OS X小牛很可能不再支持。