RSS канал
Сейчас под такой же угрозой оказались почти на все продукты Apple: OS X, iOS, tvOS и watchOS. Компания Cisco Talos передала о проблемах Apple, дело в том, что ОС IOS и OX остаются очень уязвимыми для вредных файлов. Самой серьезной из этих уязвимостей является CVE-2016-4631, которая задевает компонент ImageIO в OS X 10.11.5 и не менее ранних версиях, и в iOS 9.3.2 и не менее ранних версиях.
Кроме того, исследователь нашел и описал проблемы, связанные с обработкой файлов OpenEXR (CVE-2016-4629, CVE-2016-4630), Digital Asset Exchange (CVE-2016-1850) и BMP (CVE-2016-4637). Патч включен в версии iOS 9.3.3, tvOS 9.2.2, watchOS 2.2.2 и El Capitan 10.11.6. Обидчик может использовать эту уязвимость, чтобы выполнить различный код путем отправки пользователю специально созданного изображения, которое вызовет переполнения буфера. Сейчас очень подобная уязвимость грозит и пользователям устройств Apple.
Эта уязвимость представляет довольно серьезную угрозу, беря во внимание количество затронутых устройств и широкий круг векторов атаки.
Проблема схожа с до этого популярной уязвимостью Stagefright, которая при помощи одного ММS-сообщения могла скомпрометировать девайс. Суть взлома заключается в прикреплении к СМС особого изображения, которое получает доступ к пользовательским данным.
Информацию об уязвимостях в продуктах Apple обнародовал департамент Talos компании Cisco, специализирующийся на разработке сетевых средств безопасности. Эти уязвимости могут быть использованы для выполнения произвольного кода с помощью OpenERX, для этого потребуется специально созданный файл в формате HDR.