Zavřít reklamu

stagefright icon
Bezpečnostní vědci loni objevili to, co označují za „nejhorší zranitelnost Androidu vůbec,“ která je schopna infikovat telefon malwarem jednoduše zasláním MMS zprávy. Bezpečnostní chyba přezdívaná Stagefright ani nevyžaduje, aby lidé zprávu v jejich telefonu otevřeli a k infikování stačí pouze to, aby byla přijata.

Cisco výzkumník nyní objevil podobnou chybu v OS X a iOS, která by mohla umožnit útočníkovi získat přístup k vašim uloženým heslům a souborům pouhým zasláním škodlivého souboru, kterým je obrázek.

Cisco Talos objevil chybu ve způsobu, ve kterém I/O API analyzuje a nakládá s TIFF obrázky. Když se obrázek renderuje aplikací, která používá Image I/O API, může být použit speciálně vytvořený soubor s obrázkem TIFF k přetečení vyrovnávací paměti a nakonec dosáhnout vzdáleného spuštění kódu v zranitelných systémech a zařízeních.

Vzhledem k tomu, že se chyba týká Apple API používaném v široké škále aplikací, může být v zásadě spuštěna čímkoliv od obdržení iMessage k návštěvě webové stránky. Stejně jako u Stagefright není nutná žádná interakce s uživatelem.

Tato zranitelnost je potenciálně zneužitelná pomocí metod, které nevyžadují explicitní interakci s uživatelem, protože se mnoho aplikací (tj. iMessage) automaticky pokusí obrázek vyrenderovat, když jsou přijmuty v jejich výchozím nastavení. Vzhledem k tomu, že chyba ovlivňuje OS X 10.11.5 a iOS 9.3.2 a je velice pravděpodobné, že je přítomna i ve všech předchozích verzích, je počet postižených zařízení významný.

Cisco neodhalilo podrobnosti o zranitelnosti, než byla Applem opravena, ale měli byste se přesvědčit, že všechny vaše zařízení mají nainstalovány nejnovější verze operačních systémů, aby zajistily vaši ochranu dat. Jedná se o iOS 9.3.3, El Capitan 10.11.6, tvOS 9.2.2watchOS 2.2.2. Apple ještě neuvolnil patche pro Mavericks ani Yosemite.

MacWorld dává na vědomí, že to, co v Ciscu odhalili, je v této fázi jen důkaz existence. Nic nenasvědčuje tomu, že existují nějaké opravdové hrozby a Cisco zatím pouze prokázalo zranitelnost OS X, který sdílí kód s iOS, což znamená, že je pravděpodobné, že se chyba vztahuje i na zařízení se systémem iOS. Navíc bylo demonstrováno pouze infikování škodlivou webovou stránkou. MMS a iMessage jsou dosud pouze potenciální riziko: Cisco dosud neprokázalo tyto možnosti v praxi.

Shrnutím je tedy to, že není žádný důvod k velkým obavám, ale většinou je dobrý nápad, abyste pro jistotu nainstalovali nejnovější aktualizace OS.

stagefrightmainjpeg

Zdroj: 9to5mac

Dnes nejčtenější

.