去年,Android 小世界因一个极其严重的缺陷而颤抖,这个缺陷称为怯场。如今,Mac 世界 — — 2015 年也未能幸免于安全 — — 发现自己正处于深渊的边缘。
Cisco Talos 的安全研究员 Tylan Bohan 确实发现了一个漏洞,攻击者可以通过发送彩信或 iMessage 来窃取 iPhone 的密码。
更详细的内容。恶意者可以通过彩信发送嵌入 TIFF 格式图像的小程序。收到后,代码会自动执行,用户无法阻止。由于管理图像数据的 API ImageIO 中存在安全缺陷,恶意代码可以访问整个 iPhone,远远超出通常为消息应用程序保留的区域。
Macs 不能削减它
那么 Mac 呢?台式电脑也未能幸免。安全研究人员还发现这个缺陷以另一种方式发挥作用。它可以通过 Safari(Apple 浏览器)运行,默认情况下存在于 iOS 和 Mac OS 中
就受影响的设备数量而言,Tylan Bohan 称此缺陷为“极其严重的错误,可与 Android 上的 Stagefright 相媲美”。因为此类攻击可以恢复存储在目标设备内存中的个人安全信息(密码、代码等)。因此,这也可能涉及日常使用的所有代码:Wi-Fi 网络的密码、电子邮件帐户等。一次或另一次通过您的浏览器出现的所有内容。
思科 Talos 专家指出,攻击者要想完全控制 iPhone,就必须对其进行越狱或能够使用 root 漏洞。如果 iOS 不使用划分进程的沙箱系统,那么 Mac OS 的情况就不同了
补丁已经可用
据 Tylan Brohan 称,所有运行 iOS 9.3.2 及更早版本的 iDevices 都会受到影响。受影响的操作系统列表还包括 tvOS 和 watchOS,尽管危险程度较小。从前天开始,也就是思科Talos专家发帖的前一天,苹果也公开了iOS 9.3.3。因此强烈建议安装此 iOS 更新。 Mac 操作系统的最新三个版本强烈建议您更新您的设备。特别是因为这些补丁还纠正了其他安全和稳定性问题。
来源 :
塔洛斯情报
