火曜日に、サイバーセキュリティ会社のCisco TalosがApple製品の重大な脆弱性を明らかにした。これでパッチが適用されたので、ソフトウェアをできるだけ早くアップデートする限りは無駄になりません。それまでは、ただ ローディング 1枚の写真 - 間違ったWebサイト上、iMessage、MMS、電子メールの添付ファイルなど、仮想キーのセット全体を引き渡すことができます。
ハッカーが悪用するまでに脆弱性があるため、Appleは脆弱性に関する情報をパッチが適用されるまで公表しない。 Appleは月曜日にこのパッチをリリースしたが、詳細はあまり共有していなかった。 iOSとOS Xの両方のリリースノートにあるパッチの説明は、単に「リモートの攻撃者が任意のコードを実行できる可能性がある」と述べています。
しかし、Cisco Talosは別の話をしています。問題の悪いファイルタイプはTIFFです。これは、グラフィックデザイナーや写真家にとって便利な画像ファイルです。本質的に複雑でロスのない写真ファイルです。しかし、同じ理由で、TIFFはハッカーにとっても便利です。
「画像ファイルは、受信者の疑いを高めることなく、Webトラフィックまたは電子メールトラフィックを介して簡単に配信される可能性があるため、攻撃に最適な手段です」とCisco Talosは述べています。 AppleのImageIO API - これはアップル製品がさまざまなイメージファイルタイプをロードするか他の方法で扱うために採用しているもの - は、このアップデートまでTIFFファイルを誤って処理していました。その弱点を隠した。 Cisco Talosによると、「特別に細工されたTIFFイメージファイルを使用して、ヒープベースのバッファオーバーフローを作成し、最終的に脆弱なシステムやデバイスでリモートでコードを実行することができます」。
ImageIOはあなたのApple製品のいたるところにありますが、TIFFもそうかもしれません。悪意のあるポップアップには、iMessageやMMSと同様にTIFFが含まれる可能性があります。危険にさらされるためにファイルを開いたりダウンロードしたりする必要もありません。iMessageのような特定のアプリケーションでは、ImageIOがファイルを独自にレンダリングするので、それで十分です。
多くの報道機関がこのバグをいわゆるStagefrightマルウェアと見なしています。しかし、セキュリティの専門家はこの脆弱性がパニックに陥るものであるとは確信していません。
このバグがあなたのiPhoneを占領する唯一の場所は、この過言集の見出しにあります。
- Jonathan Zdziarski(@JZdziarski)2016年7月22日
Cisco Talosは、その事実を確認しました。 できた それは起こりません だった ハプニング。 「この脆弱性はOS X 10.11.5とiOS 9.3.2の両方に影響を与え、以前のすべてのバージョンに存在すると考えられているため、影響を受けるデバイスの数は重要です。」そのソフトウェアをアップデートしてください、大丈夫でしょう。