去年,Android 小世界因一個極其嚴重的缺陷而顫抖,這個缺陷稱為怯場。如今,Mac 世界 — — 2015 年也未能倖免於安全 — — 發現自己正處於深淵的邊緣。
Cisco Talos 的安全研究員 Tylan Bohan 確實發現了一個漏洞,攻擊者可以透過發送彩信或 iMessage 來竊取 iPhone 的密碼。
更詳細的內容。惡意者可以透過彩信發送嵌入 TIFF 格式影像的小程式。收到後,程式碼會自動執行,使用者無法封鎖。由於管理映像資料的 API ImageIO 中存在安全缺陷,惡意程式碼可以存取整個 iPhone,遠遠超出通常為訊息應用程式保留的區域。
Macs 不能削減它
那麼 Mac 呢?桌上型電腦也未能倖免。安全研究人員也發現這個缺陷以另一種方式發揮作用。它可以透過 Safari(Apple 瀏覽器)運行,預設存在於 iOS 和 Mac OS 中
就受影響的裝置數量而言,Tylan Bohan 稱此缺陷為「極其嚴重的錯誤,可與 Android 上的 Stagefright 相媲美」。因為此類攻擊可以恢復儲存在目標裝置記憶體中的個人安全資訊(密碼、代碼等)。因此,這也可能涉及日常使用的所有代碼:Wi-Fi 網路的密碼、電子郵件帳戶等。一次或另一次透過您的瀏覽器出現的所有內容。
思科 Talos 專家指出,攻擊者要完全控制 iPhone,就必須對其進行越獄或能夠使用 root 漏洞。如果 iOS 不使用劃分進程的沙箱系統,那麼 Mac OS 的情況就不同了
補丁已經可用
據 Tylan Brohan 稱,所有運行 iOS 9.3.2 及更早版本的 iDevices 都會受到影響。受影響的作業系統清單還包括 tvOS 和 watchOS,儘管危險程度較小。從前天開始,也就是思科Talos專家發文的前一天,蘋果也公開了iOS 9.3.3。因此強烈建議安裝此 iOS 更新。 Mac 作業系統的最新三個版本強烈建議您更新您的裝置。特別是因為這些補丁還修正了其他安全和穩定性問題。
來源 :
塔洛斯情報
