Applovo delo na utrjevanju razdeljevalnika pomnilnika je napadalcem otežilo izkoriščanje določenih razredov programske ranljivosti na napravah iOS in Mac, so varnostni inženirji podjetja zapisali na novem spletnem mestu, ki ga je Apple predstavil za izmenjavo tehničnih podrobnosti za varnostnimi tehnologijami iOS in MacOS.
Nova pobuda, Apple varnostne raziskaveponuja tudi orodja za pomoč varnostnim raziskovalcem pri poročanju Appleu o težavah, pridobivanje posodobitev stanja v realnem času za predložena poročila, varno komuniciranje z Applovimi inženirji, ki preiskujejo težavo, in zagotavlja informacije o Program Apple Security Bounty. Namen novega varnostnega središča je deliti z raziskovalno skupnostjo, kako se Applovi inženirji lotevajo varnostnih izzivov, ter povabiti raziskovalce k prispevkom in povratnim informacijam.
Varnost pomnilnika je ključno področje, na katerega se osredotočamo, zlasti ker so kršitve varnosti pomnilnika najbolj razširjen razred ranljivosti programske opreme. Na platformah Apple izboljšanje varnosti pomnilnika vključuje "iskanje in odpravljanje ranljivosti, razvoj z varnimi jeziki in uvajanje ublažitev v velikem obsegu," so inženirji zapisali v tehnični objavi na Varnost pomnilnika XNU.
XNU je jedro v jedru iPhonov, iPadov in Macov.
Velik del kode, ki se izvaja na napravah iPhone, iPad in Mac, je bil napisan z uporabo programskih jezikov, ki niso varni za pomnilnik, kar pomeni, da ne preprečujejo kršitev varnosti pomnilnika, razvijalci pa lahko med pisanjem kode nenamerno in nevede kršijo varnostna pravila za pomnilnik, ugotavljajo raziskovalci. napisal. Te težave lahko napadalci izkoristijo za zrušitev programske opreme, izvajanje nepooblaščenih ukazov in pridobivanje občutljivih informacij.
Nemogoče je prepisati velike količine obstoječe kode z uporabo jezikov, varnih za pomnilnik, zato je "izboljšanje varnosti pomnilnika pomemben cilj za inženirske ekipe v celotni industriji," so zapisali inženirji.
Apple je postavil temelje za utrjeni razdeljevalnik pomnilnika kalloc_type v iOS 14, ko je bil predstavljen kheaps, razdelitev podatkov in sekvestriranje navideznega pomnilnika. Apple je ob uvedbi dodal naključno razdeljeno izolacijo v razdelilnik con kalloc_type v iOS 15. Z izdajo iOS 16 in macOS Ventura je utrjeni razdelilnik zdaj na voljo v vseh sistemih, ki uporabljajo jedro XNU.
"Naša temeljna strategija je oblikovati razdelilnik, zaradi katerega je izkoriščanje večine ranljivosti zaradi poškodb pomnilnika samo po sebi nezanesljivo," so zapisali raziskovalci. "To omejuje vpliv številnih varnostnih napak v pomnilniku, še preden izvemo zanje, kar izboljša varnost za vse uporabnike."
V Applovi posodobitvi svojega programa nagrad je podjetje povedalo, da je raziskovalcem varnosti v zadnjih dveh letih in pol od uvedbe programa podelilo skoraj 20 milijonov dolarjev. Medtem ko so povprečna izplačila okoli 40,000 USD v kategoriji izdelkov, je podjetje izplačalo 20 ločenih nagrad nad 100,000 USD za težave z velikim vplivom. Merila ocenjevanja, ki jih morajo izpolnjevati raziskovalci, da bi lahko zbirali nagrade, so na voljo na Apple Security Research.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
