CiscoTalosのセキュリティ研究者がセキュリティの脆弱性を明らかにしました (CVE) MacOSXデバイスを危険にさらす可能性があります. この欠陥により、攻撃者はユーザーのデータを収集することができ、次のような事態につながる可能性があります。 リモートコード実行 およびデバイスの乗っ取り. 開示された脆弱性の総数は 5.
関連している: OSX.Pirrit –Macを危険にさらすマルウェアアドウェア
CVEに会う-2016-4631, CVE-2016-4629, CVE-2016-4630, CVE-2016-1850およびCVE-2016-4637
すべての原因 5 欠陥は、Appleが画像形式を処理する方法にあります. Appleは、画像にアクセスするためのインターフェイスとしてAPIを提供しています, 欠陥はそのシステムに関連しています.
危険は特に.tiffに関連しています (TIFF) 公開に使用されるファイル, OpenEXR, DigitalAssetExchangeファイル形式のXMLファイル, およびBMP画像.
CVE-2016-4631と.tiffの詳細 (TIFF) ファイル形式
可逆圧縮で画像を保存できるため, タグ付き画像ファイル形式は、主にグラフィックデザイナーやアーティストの写真家の間で人気があります. 研究者は、TIFFは1980年代半ばに一般的なスキャン画像ファイル形式を確立しようとして作成されたと説明しています. Talosの研究者は、Image I /OAPIがタイル化されたTIFF画像ファイルを解析および処理する方法に問題があることを発見しました.
Image I /OAPIを使用するアプリケーションによってレンダリングされる場合, 特別に細工されたTIFFイメージファイルを使用して、ヒープベースのバッファオーバーフローを作成し、最終的に脆弱なシステムやデバイスでリモートコード実行を実現できます。.
CVE-2016-4631は、TIFF画像のレンダリング時にApple Image I /OAPIを使用するすべてのアプリでアクティブ化できます.
言い換えると, 攻撃者がこのセキュリティの抜け穴を利用する機会はたくさんあります, iMessagesのように, 侵害されたページ, Apple Image I /OAPIの助けを借りて開くMMSと悪意のある添付ファイル.
CVE-2016-4629の詳細, CVE-2016-4630およびOpenEXRファイル形式
OpenEXRは、高ダイナミックレンジの画像ファイル形式です. このフォーマットは、視覚効果業界でのアプリケーション用に開発されており、プロのコンピュータグラフィックスで広く普及しています。. このフォーマットでは、ピクセル単位で保持される情報のビット深度に多くの柔軟性があります。, 研究者は注意する. 悪い部分は、悪意のあるOpenEXRファイルが作成され、この柔軟性を悪用して、Apple Image I/Oがイメージに含まれる情報を目的の宛先バッファ外のメモリに書き込む可能性があることです。.
CVE-2016-1850およびデジタル資産交換ファイル形式の詳細
基本的, Digital Asset Exchange形式は、デジタルコンテンツ作成アプリ間でファイルを交換するために適用されるXMLファイル形式です。 .
フレームワークが1つのタイプのオブジェクトにアクセスできるように、特別に作成されたDigitalAssetExchangeファイルをSceneKitに渡すことができます。, それが別のタイプであると信じている. このような状況では、範囲外のメモリにアクセスする誤って入力されたオブジェクトに対して操作を実行することが可能です。. この脆弱性を悪用して、デバイス上でリモートでコードが実行される可能性があります.
CVE-2016-4637およびBMPファイル形式の詳細
それは、その構造の点で、長年の単純なファイルです。. BMPファイルヘッダーには、サイズに関する情報が含まれています, レイアウト, と画像の種類. 研究者は、画像の高さプロパティが処理される方法に問題が存在すると言います.
これは、特別に細工されたBMP画像ファイルが保存されるときに悪用される可能性があります, 次に開いて、サイズ情報の一部を操作します. このエクスプロイトは、範囲外の書き込みにつながり、Apple Core Graphics APIを使用して任意のアプリケーションで開くと、リモートでコードが実行されます。.
Appleは脆弱性を修正しましたか?
Appleはすでにすべてにパッチを当てています 5 iOSの最新バージョンの問題, Mac OS X, tvOSとwatchOS. 脆弱性を修正するには、ユーザーはソフトウェアの更新に進む必要があります.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: