Google našel v operačních systémech Apple 6 chyb typu 0-click

Výzkumníci v Project Zero od Googlu si vzali na paškál multimediální knihovnu Image I/O, kterou najdeme snad ve všech operačních systémech produktů Apple, jmenovitě iOS/iPadOS, macOS, tvOS i watchOS. Ta má za úkol pracovat s nejrůznějšími formáty obrázků, přičemž otázkou zkoumání bylo, co se stane, když dostane nějakým způsobem neplatná data. Může jít o data náhodná nebo nějak záměrně poškozená či upravená. Při načtení takových dat může dojít k nesprávnému chování aplikací vedoucí i k bezpečnostním útokům.

 

 

Project Zero takto našel šest bezpečnostních chyb, které ani nevyžadují interakci uživatele, tedy tzv. 0-click. Ten tedy nemusí na nic klikat, k útoku dojde pouhým načtením a zpracováním obrázku pomocí vadné knihovny. Dalších 8 chyb pak obsahovala knihovna Open EXR, která však není dílem Applu (jde o knihovnu třetí strany). Výzkumníci nicméně výrazněji nezkoumali, co vše se zneužitím chyb dá provést, takže nevylučují, ale ani nepotvrzují, že by to šlo využít např. ke spuštění škodlivého kódu a převzetí kontroly nad zařízením.

 

Chyby byly Applu nahlášeny už před nějakou dobu. Pokud tedy máte aktualizovaný operační systém, mělo by být vše v pořádku. Některé z chyb byly opraveny už v aktualizacích v lednu, další pak nedávno v dubnu. Přestože byly chyby opraveny, výzkumníci v Project Zero připouští, že by systémy Applu mohly mít ještě další dosud neobjevené nedostatky. Dále radí Applu, aby omezil ve svých systémech podporu různých formátů, čímž by se mohlo minimalizovat riziko.

 

Zdroj: phonearena.com, zdnet.com