Objevena kritická chyba v zařízeních Apple, aktualizace nutná co nejdříve

Všechna zařízení Apple jsou v ohrožení. Kritická chyba s označením CVE-2016-4631 umožňuje útočníkům získat důvěrné informace z paměti zařízení pouhým zasláním obrázku. Navíc se proti ní velice špatně brání.

Chyba se nachází v ImageIO, což je API, které má na starosti práci s obrázky, téměř ve všech zařízeních s operačními systémy Apple. Patří mezi ně například Mac OS X, watchOS anebo tvOS. Přes informace, které se přidávají k obrázku (Tagged Image File Format), se dá propašovat do ImageIO škodlivý kód.

Teoretický útok by probíhal následovně. Někdo vám zašle MMS, která obsahuje obrázek s nebezpečným kódem v TIFF. Následně získá třeba přístupové údaje k vaší wi-fi anebo jiné informace, které jsou právě v paměti.

Obdobně by mohl útok směřovat i proti Macu. Stačí abyste v prohlížeči Safari otevřeli stránku, kde se obrázek s nebezpečným TIFF nachází.

Vzhledem k tomu, že útok je veden přes obrázky špatně se mu dá předcházet. Běžně obrázky nejsou považovány za nebezpečné soubory, takže projdou prakticky vždy bez nějaké kontroly systémem. Naštěstí u iOS je přítomen sandbox, který nějaký rozsáhlejší útok znemožňuje. Pro získání kontroly nad zařízením by musel útočník využít navíc nějakou závažnější zranitelnost, která by mu umožnila dostat se přes něj (jailbreak, root exploit)

V každém případě chyba už byla opravena, takže nejnovější aktualizace vše vyřeší.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *