Уязвимость в iOS позволяет выполнить код с помощью файла JPEG

В понедельник, 24 октября, компания Apple выпустила обновления для iOS, macOS, Safari, а также для прошивок смарт-часов Apple Watch и медиапроигрывателя Apple TV. Помимо прочего, патчи исправляют уязвимости, позволяющие получить контроль над устройством с помощью файла JPEG или PDF.

Новая версия iOS 10.1 устраняет 12 уязвимостей. Проэксплуатировав уязвимость CVE-2016-4673, злоумышленник может удаленно выполнить код и получить контроль над устройством. Для успешного осуществления атаки ему достаточно лишь заставить жертву открыть файл JPEG или PDF с вредоносным кодом. Патч также исправляет уязвимости CVE-2016-4677 и CVE-2016-4666 в движке для отображения web-страниц WebKit, позволяющую удаленно выполнить код, и CVE-2016-4686, с помощью которой злоумышленник может локально выполнить код.

Обновление macOS Sierra 10.12.1 исправляет 16 уязвимостей. В частности, устранены две уязвимости, позволяющие удаленно выполнить код. Злоумышленник может проэксплуатировать CVE-2016-4667 с помощью файлов со шрифтами, а CVE-2016-4671 – с помощью файлов PDF. Также исправлена проблема с безопасностью в драйверах для видеокарты Nvidia (CVE-2016-4663) и уязвимость, позволяющая узнать количество символов в пароле пользователя (CVE-2016-4670).

В iOS и macOS компания Apple устранила уязвимость CVE-2016-4635, с помощью которой злоумышленник может удаленно перехватывать аудиосигнал, передаваемый через камеру FaceTime. Обновление watchOS 3.1 исправляет восемь проблем с безопасностью в смарт-часах, а в Apple TV устранены десять уязвимостей.