保安警报 (A19-09-07): Apple 装置多个漏洞

描述:

Apple 发布了iOS 12.4.2、iOS 13.1 及 iPadOS 13.1 以应对于Apple装置中发现的多个安全漏洞。攻击者可发送恶意制的讯息、诱使用户开启包含特制内容的档案或网站或以物理存取绕过屏幕锁定，从而攻击这个漏洞。

Apple已发布iOS 13.1.1 及 iPadOS 13.1.1，以包含对另一个安全漏洞（CVE-2019-8779）的应对。成功利用这个漏洞可能会允许第三方应用程序扩展突破沙盒限制，并在没有用户许可的情况下完全存取装置功能及资源。建议用户将受影响Apple装置的操作系统升级至最新版本。

受影响的系统:

• iPhone 5s 及之后的型号
• iPad Air 及之后的型号、mini2 及之后的型号
• iPod touch (第6代) 及之后的型号

影响:

成功利用这个漏洞可以导致泄漏资讯、执行任意程式码、程式意外终止、仿冒诈骗或绕过保安功能。

建议:

产品供应商发行了操作系统新版本应对以上问题。

• iOS 12.4.2 (iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 及 iPad touch 第6代)
  https://support.apple.com/en-hk/HT210590
  
  
• iOS 13.1 及 iPadOS 13.1 (iPhone 6s及之后的型号、iPad Air 2及之后的型号、iPad mini 4 及之后的型号及iPod touch第7代)
  https://support.apple.com/en-hk/HT210603
  
  

用户可透过产品本身的自动更新装置来更新软件。受影响系统的用户应遵从产品供应商的建议，立即采取行动以降低风险。

进一步信息:

https://support.apple.com/en-hk/HT210590
https://support.apple.com/en-hk/HT210603
https://support.apple.com/en-hk/HT210606
https://support.apple.com/en-us/HT210613
https://support.apple.com/en-us/HT210624
https://www.hkcert.org/my_url/zh/alert/19092702
https://www.us-cert.gov/ncas/current-activity/2019/09/25/apple-releases-security-updates
https://www.us-cert.gov/ncas/current-activity/2019/09/27/apple-releases-security-updates
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8641
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8674
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8704
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8705
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8711
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8727
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8731
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8742
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8760
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8775
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8779