周二,网络安全公司Cisco Talos披露了一个主要的Apple产品漏洞。它现在已经打补丁,所以只要你尽快更新你的软件,你就可以幸免。在那之前,只是 装载 一张照片 - 无论是在错误的网站上,通过iMessage或MMS,还是通过电子邮件附件 - 都可以移交整套虚拟钥匙。
Apple在修补漏洞之前不会发布有关漏洞的信息,因为黑客可能会利用这些漏洞来利用漏洞。 Apple周一发布了这个补丁,但没有分享很多细节。该补丁在iOS和OS X发行说明中的解释仅说明“远程攻击者可能能够执行任意代码”。
但思科Talos讲述了一个不同的故事:有问题的坏文件类型是TIFF - 一个对图形设计师和摄影师有用的图像文件,因为它是一个本质上复杂,无损的照片文件。但出于同样的原因,TIFF对黑客很有用。
“图像文件是攻击的理想载体,因为它们可以通过网络或电子邮件流量轻松分发,而不会引起收件人的怀疑,”思科Talos写道。 Apple的ImageIO API - Apple产品用来加载或处理各种图像文件类型 - 直到此更新时,错误处理TIFF文件。其中隐藏着弱点。根据思科Talos的说法,“一个特制的TIFF图像文件可用于创建基于堆的缓冲区溢出,并最终在易受攻击的系统和设备上实现远程代码执行。”
ImageIO遍布您的Apple产品,TIFF也可能。恶意弹出窗口可能具有TIFF,iMessage或MMS也是如此。用户甚至不需要打开或下载文件就有风险,因为在某些应用程序(如iMessage)中,ImageIO会自行呈现文件,而这就是全部。
许多新闻媒体将这个漏洞等同于所谓的Stagefright恶意软件,这是一个真正的Android漏洞。但是安全专家并不相信这个漏洞可以让人感到恐慌。
这个错误占据iPhone的唯一地方是这个过度炒作的标题。
- Jonathan Zdziarski(@JZdziarski)2016年7月22日
思科Talos确定了它的事实 可以 发生了,而不是它 是 发生。但它仍然有警示:“由于这个漏洞影响OS X 10.11.5和iOS 9.3.2并且被认为存在于所有以前的版本中,受影响的设备数量很大。”只要你继续前进更新该软件,你会没事的。