r   e   k   l   a   m   a
r   e   k   l   a   m   a

Apple ma swojego Stagefrighta: złośliwe obrazki groźne dla wszystkich urządzeń z Jabłuszkiem

Strona główna AktualnościBEZPIECZEŃSTWO

Złej radości mogli doświadczać użytkownicy iPhone’ów, gdy ogłoszono, że niemal miliard urządzeń z Androidem może zostać załatwionych na dobre poprzez lukę w bibliotece libstagefright, służącej do odtwarzania mediów. Potem było jeszcze gorzej, kolejna wersja tej podatności pozwoliła na atakowanie androidowych urządzeń nawet za pomocą MMS-ów. Tymczasem okazuje się, że urządzenia Apple cierpią na praktycznie dokładnie taką samą przypadłość. Uzłośliwiony obrazek jest w stanie załatwić OS-a X, iOS-a, tvOS-a i watchOS-a.

Odkrywcą tych spektakularnych luk w systemach Apple’a jest Tyler Bohan z zespołu Cisco Talos. Przedstawił on pięć podatności na zdalne uruchomienie kodu. Dotyczą one przetwarzania plików graficznych TIFF oraz OpenEXR przez interfejs Apple Image I/O, obsługi wymiany cyfrowych zasobów w pośredniczącym formacie Digital Asset Exchange, wykorzystywanym m.in. przez Apple Scene Kit, a nawet wyświetlania obrazków BMP z wykorzystaniem interfejsu Apple Core Graphics.

Wektorem ataku może być dowolny plik we wspomnianych formatach, przesłany np. przez komunikator iMessage, osadzony na złośliwej stronie internetowej czy załączony w wiadomości MMS. Systemy operacyjne z Cupertino będą próbowały go przetworzyć, by zaprezentować użytkownikowi miniaturkę – i kończy się to błędami przepełnienia bufora i uszkodzenia pamięci, pozwalającymi na uruchomienie obcego kodu z uprawnieniami zalogowanego użytkownika.

r   e   k   l   a   m   a

Zagrożeni w ten sposób są wszyscy użytkownicy systemów OS X, iOS, tvOS i watchOS, których wersje systemu są wcześniejsze niż niedawno wydane poprawkowe wersje El Capitan 10.11.6, iOS 9.3.3, tvOS 9.2.2 oraz watchOS 2.2.2. Na szczęście bowiem Tyler Bohan z odpowiednim wyprzedzeniem zgłosił swoje odkrycie Apple, a nie np. sprzedał je na czarnym rynku. Warto bowiem podkreślić, że w przeciwieństwie do Google, firma z Cupertino nie płaci odkrywcom luk za ich ciężką pracę – co najwyżej mogą usłyszeć „dziękuję”.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.