OS X a iOS je možné hacknout pouhým TIFF obrázkem nebo MMS. Aktualizujte ještě dnes

iPhone

26. 7. 2016

Bezpečnostní vědci loni objevili to, co označují za „nejhorší zranitelnost Androidu vůbec,“ která je schopna infikovat telefon malwarem jednoduše zasláním MMS zprávy. Bezpečnostní chyba přezdívaná Stagefright ani nevyžaduje, aby lidé zprávu v jejich telefonu otevřeli a k infikování stačí pouze to, aby byla přijata.

Cisco výzkumník nyní objevil podobnou chybu v OS X a iOS, která by mohla umožnit útočníkovi získat přístup k vašim uloženým heslům a souborům pouhým zasláním škodlivého souboru, kterým je obrázek.

Cisco Talos objevil chybu ve způsobu, ve kterém I/O API analyzuje a nakládá s TIFF obrázky. Když se obrázek renderuje aplikací, která používá Image I/O API, může být použit speciálně vytvořený soubor s obrázkem TIFF k přetečení vyrovnávací paměti a nakonec dosáhnout vzdáleného spuštění kódu v zranitelných systémech a zařízeních.

Vzhledem k tomu, že se chyba týká Apple API používaném v široké škále aplikací, může být v zásadě spuštěna čímkoliv od obdržení iMessage k návštěvě webové stránky. Stejně jako u Stagefright není nutná žádná interakce s uživatelem.

Tato zranitelnost je potenciálně zneužitelná pomocí metod, které nevyžadují explicitní interakci s uživatelem, protože se mnoho aplikací (tj. iMessage) automaticky pokusí obrázek vyrenderovat, když jsou přijmuty v jejich výchozím nastavení. Vzhledem k tomu, že chyba ovlivňuje OS X 10.11.5 a iOS 9.3.2 a je velice pravděpodobné, že je přítomna i ve všech předchozích verzích, je počet postižených zařízení významný.

Cisco neodhalilo podrobnosti o zranitelnosti, než byla Applem opravena, ale měli byste se přesvědčit, že všechny vaše zařízení mají nainstalovány nejnovější verze operačních systémů, aby zajistily vaši ochranu dat. Jedná se o iOS 9.3.3, El Capitan 10.11.6, tvOS 9.2.2 a watchOS 2.2.2. Apple ještě neuvolnil patche pro Mavericks ani Yosemite.

MacWorld dává na vědomí, že to, co v Ciscu odhalili, je v této fázi jen důkaz existence. Nic nenasvědčuje tomu, že existují nějaké opravdové hrozby a Cisco zatím pouze prokázalo zranitelnost OS X, který sdílí kód s iOS, což znamená, že je pravděpodobné, že se chyba vztahuje i na zařízení se systémem iOS. Navíc bylo demonstrováno pouze infikování škodlivou webovou stránkou. MMS a iMessage jsou dosud pouze potenciální riziko: Cisco dosud neprokázalo tyto možnosti v praxi.

Shrnutím je tedy to, že není žádný důvod k velkým obavám, ale většinou je dobrý nápad, abyste pro jistotu nainstalovali nejnovější aktualizace OS.

Chyba v iOS způsobí restart iPhonu při obdržení určitě zprávy

Zdroj: 9to5mac

Diskuze k článku

Vložte vlastní komentář Zrušit odpověď na komentář

Vaše jméno nebo Přihlásit se

Váš komentář

Vyplněním shora uvedených údajů beru na vědomí, že společnost TEXT FACTORY s.r.o., sídlem Brno, Durďákova 336/29, Černá Pole, PSČ: 613 00, IČ: 06157831, zapsané u Krajského soudu v Brně, oddíl C, vložka 100399, bude zpracovávat mé osobní údaje uvedené v rámci mnou vyplněného registračního formuláře na základě oprávněných zájmů TEXT FACTORY s.r.o. dle čl. 6 odst. 1 písm. f) GDPR a pro splnění právních povinností (čl. 6 odst. 1 písm. c) GDPR), a to pro tyto účely: nezbytnost zajistit oprávnění návštěvníka webových stránek provozovaných společností TEXT FACTORY s.r.o. přispívat aktivně ke zveřejněným článkům nebo v rámci diskusních fór a výkon práv TEXT FACTORY s.r.o. jako administrátora těchto diskusních fór. Více informací o zpracování osobních údajů a právech lze nalézt v Poučení o ochraně osobních údajů. celý text

Dnes nejčtenější

Tajná zbraň watchOS 26? Apple Watch začínají odhalovat vysoký tlak ještě před prvními příznaky

iPhone 17 má nový superodolný displej. Levná ochranná skla mu však paradoxně spíš škodí

Testování finišuje! Apple vydal RC bety iOS 26.2, iPadOS 26.2, macOS Tahoe 26.2, watchOS 26.2, tvOS 26.2 a visionOS 26.2

Nejčtenější