Stfw.RuИсследователи команды Cisco Talos обнаружили ряд уязвимостей в операционных системах iOS и OS X, позволяющих взломать устройство путем отправки вредоносного изображения. Наиболее серьезная уязвимость (CVE-2016-4631) содержится в компоненте ImageIO, реализованном в OS X 10.11.5 и ранних версиях, а также в iOS 9.3.2 и ниже. Кроме того, проблема затрагивает ОС watchOS и tvOS.
По словам исследователей, уязвимость вызвана некорректной обработкой ImageIO графических файлов в формате TIFF. Злоумышленник может проэксплуатировать проблему путем отправки специально сформированного изображения, что приведет к переполнению динамической памяти. В результате атакующий получит возможность удаленно выполнить встроенный в файл вредоносный код и получить контроль над устройством.
Данная уязвимость представляет довольно серьезную угрозу, учитывая количество затронутых устройств и широкий круг векторов атаки. К примеру, преступник может отправить вредоносное изображение посредством iMessage, MMS-сообщения, различных web-сайтов и других приложений, использующих ImageIO для обработки графических файлов. Эксплуатация данной уязвимости не требует непосредственного участия пользователя, поскольку многие приложения автоматически начинают обработку изображений.
Вышеуказанная проблема устранена в версии iOS 9.3.3. 18 июля 2016 года компания Apple выпустила корректирующие обновления для OS X, iOS, watchOS, tvOS, Safari, iTunes и iCloud с исправлением более сотни уязвимостей.
