CNews Аналитика Конференции Маркет Техника ТВ

Разделы

Безопасность Техника Мобильность
|

Разработчики iOS и macOS проглядели богатый букет опасных брешей

Полтора десятка уязвимостей выявили эксперты GoogleProjectZero во всех операционных системах Apple. Все – связаны с обработкой изображений разных форматов.

ImageI/O и другие проблемы

Эксперты Google Project Zero выявили несколько серьёзных уязвимостей в компонентах обработки мультимедиа в разных операционных системах Apple.

Во фреймворке Image I/O, отвечающем за обработку изображений в iOS, macOS, tvOS и watchOS, обнаружился целый ряд ошибок интерпретации кода изображений. Из-за этого возникает возможность скрыть в изображении вредоносный код и заставить парсер запустить его — без какого-либо участия пользователя.

Всего эксперты выявили 14 уязвимостей. Индексы CVE были присвоены всем, кроме одной, которую в Apple уже успели обнаружить до сообщения из Google Project Zero.

Шесть уязвимостей связаны с обработкой Image I/O проприетарных форматов изображений, остальные — в библиотеке обработки изображений в открытом формате HDR-файлов OpenEXR.

Патчи есть, но...

Apple опубликовала необходимые патчи в январском и мартовском обновлениях 2020 г. для всех своих операционных систем.

apple600.jpg

Проблемы с обработкой изображений грозили запуском произвольного кода в разработках Apple

Вероятность использования их для запуска произвольного кода на конечном устройстве довольно низка, но отличается от нулевой. В GPZ считают, что при должных усилиях вполне возможно использовать некоторые из этих уязвимостей для RCE-атак.

Кроме того, в Google Project Zero считают, что Apple делает недостаточно для минимизации рисков и порекомендовали более агрессивно тестировать ПО и снижать поверхность атаки.

«Стеганография уже неоднократно использовалась для кибератак, так что ошибки в парсерах цифровых изображений далеко не безобидны, — отмечает Анастасия Мельникова, эксперт по информационной безпасности компании SEC Consult Services. — И особенно, когда речь идет о разработках, которые считаются в среднем более защищенными, чем остальные, просто в силу репутации разработчика. Рекомендации более агрессивно тестировать свои продукты, впрочем, можно адресовать любым разработчикам: избыточного тестирования, в общем-то, не бывает».

Роман Георгиев

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Больше общения и акцент на ИБ: как устроен гибридный офис

CNews Analytics: топ-35 разработчиков мобильных приложений

Зачем рынку еще один интегратор? Спросили у новой компании

В приложении Альфа-банка теперь можно обновить паспортные данные

Денис Хадасков, HD Tech: В России исторически сложилось, что инновации появляются в финансовых компаниях

В госорганы по всей России будут переданы сотни тысяч б/у планшетов на российской ОС

MARKET.CNEWS

VDI

Подобрать тариф на аренду виртуальных рабочих мест

От 1 750 руб./месяц

CRM

Подобрать CRM-систему для компании

От 1 000 руб./месяц

Онлайн-бухгалтерия

Выбрать тариф на онлайн-бухгалтерию

От 1 300 руб./месяц

DRaaS

Подобрать тариф по аварийному восстановлению ИТ-инфраструктуры

От 1 руб./месяц

Техника

Обзор ноутбука HUAWEI MateBook D 16 2024: производительный малый

Самые дорогие мониторы для профессиональной работы: выбор ZOOM

Обзор смартфона HUAWEI nova 12s: стильный и функциональный

Показать еще

Наука

На каком языке думают нейросети?

«Ангара А5» и другие самые интересные космические миссии в 2024 году

Обнаружен неизвестный объект в Млечном Пути — он тяжелее самых тяжелых нейтронных звезд и легче самых легких черных дыр
Показать еще