Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Utilizatorii de iPhone și Mac-uri trebuie să actualizeze versiunea sistemului de operare pentru a evita bug-ul asemănător cu cel de pe Android, Stagefright

2016-07-22

Vă aduceți aminte de Stagefright?

Este una dintre cele mai mari preocupări legate de securitate în anul 2015, după ce a fost descoperit faptul că un bug critic în serverul media al sistemului de operare putea duce la situații în care o simplă deschidere a unui e-mail, navigarea pe un site sau primirea unui fișier media prin MMS ar avea drept rezultat rularea unui cod malițios pe dispozitivul Android.

Milioane de dispozitive cu Android au fost considerate vulnerabile, acest lucru fiind atât de discutat, încât a determinat Google să devină din ce în ce mai serios cu privire la modul în care ar putea să îmbunătățească și să dezvolte în viitor actualizările pentru utilizatori.

Desigur, în cazul în care utilizați un telefon de la Apple, nu puteți evita un zâmbet ușor ironic în legătură cu această stare de fapt.

Ei bine, este timpul să renunțați la zâmbet, deoarece acum utilizatorii de iPhone-uri, iPad-uri, iMac-uri și MacBook-uri se vor confrunta cu un bug asemănător cu Stagefright.

La începutul acestei săptămâni, Apple a lansat patch-uri pentru numeroase breșe de securitate din sistemele de operare OS X și iOS, incluzând cinci vulnerabilități cu o anumită asociere cu Stagefright.

ImageIO

Impact: Un atacator de la distanță poate executa un cod arbitrar.

Descriere: Multiple probleme legate de coruperea memoriei au fost abordate printr-o îmbunătățire a modalității de manipulare a memoriei.

Precum s-a întâmplat cu Stagefright, care a bântuit utilizatorii Android, atacul funcționează din cauza bug-urilor ce pot fi exploatate în modul în care iPhone-urile și Mac-urile de la Apple procesează fișierele de imagini pentru a crea un thumbnail. Vulnerabilitățile în acel cod de generare a unui thumbnail pot fi exploatate de un fișier de imagine malițios (inclusiv formate de tip BMP sau TIFF) pentru a realiza executarea codului de la distanță pe dispozitivul vizat.

Pe scurt, un hacker v-ar putea trimite un e-mail cu un atașament de tip TIFF malițios, ar putea să vă direcționeze către o pagină web unde este încorporat un astfel de fișier sau ar putea să îl trimită prin intermediul unui MMS, direct pe mobil, dacă vă cunoaște numărul de telefon. Oricare ar fi metoda urmată, dacă un atacator reușește să păcălească sistemul dvs. să redea imaginea malformată, Mac-ul sau telefonul ar putea fi în pericol.

Punctele slabe ce pot fi exploatate au fost descoperite de cercetătorii de la Cisco’s Talos, care au remarcat că fișierele capcană sub formă de imagini “reprezintă un vector de atac excelent, din moment ce pot fi distribuite cu ușurință prin intermediul e-mailului sau a paginilor web, fără a ridica nici o suspiciune.”

Vestea bună este că Apple a emis remedieri pentru această problemă la începutul săptămânii. Dacă ați actualizat deja sistemele de operare la variantele iOS 9.3.3, tvOS 9.2.2, watchOS 2.2.2, și El Capitan v10.11.6, atunci puteți sta liniștiți, pentru că ați făcut ce este corect.

O altă veste bună este aceea că utilizatorii Apple au de obicei o mai mare ușurință în instalarea actualizărilor pentru dispozitivele lor, față de cazurile întâmpinate la unele versiuni de Android.

Asigurați-vă că toate dispozitivele au patch-urile instalate înainte ca infractorii online să încerce să profite de acest punct slab.

 

GRAHAM CLULEY

CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *