Apple の最近の iOS、OS X、tvOS、watchOS アップデートは、単純なテキスト メッセージで機密データを密かに収集できる、これまで知られていなかったセキュリティ上の欠陥にパッチを当てています。これは、昨年 Google で大々的に嘲笑された Stagefright エクスプロイトに酷似した OS レベルのバグです。アンドロイドプラットフォーム。
のように舞台恐怖症、iOSの脆弱性によって発見されましたCisco Talos エンジニアの Tyler Bohan は、MMS によって配信されるメディア ファイル、特にバッファ オーバーフローを引き起こすために使用される不正なペイロードを含む特別に作成された Tagged Image File Format (TIFF) ファイルに関与しています。
Bohan 氏の説明によれば、感染した TIFF ファイルがターゲット デバイス上で開かれると、iMessage や、画像をレンダリングするために Apple の Image I/O API を使用するその他のアプリでバッファ オーバーフローが引き起こされ、リモートでコードが実行される可能性があります。悪意のあるファイルの命令セットによっては、悪意のあるユーザーがアカウントのログイン、パスワード、その他の機密情報にアクセスできる可能性があります。
Bohan 氏は、iMessage を含む特定の iOS アプリがデフォルトで TIFF 画像を自動的にレンダリングしようとするため、この脆弱性は特に危険であると指摘しています。このような場合、ペイロードはユーザーの介入なしに自動的にトリガーされます。 Safari にも脆弱性がありますが、ペイロードをトリガーするには、ユーザーがリンクをクリックするか、悪意のある Web ページを読み込む必要があります。
フォーブス脆弱性の発見について報告しました今日の早い時間に。
Apple の Web サイトによると、パッチされた欠陥は影響画像データ ハンドラー ImageIO。古いバージョンの iOS、OS X、tvOS、watchOS を実行しているハードウェアが危険にさらされていることを意味します。幸いなことに、アップル月曜日にiOS 9.3.3、OS X 10.11.6、tvOS 9.2.2、watchOS 2.2.2 をリリースし、いずれもバグを修正しました。
Isamu 
Isamu 
Isamu