Kodėl reikėtų atnaujinti OS X ir iOS versijas

Saugumo ekspertai aptiko didelę „iOS“ ir „OS X“ saugumo spragą, kuri ištaisyta naujausiuose „OS X El Capitan 10.11.6“ ir „iOS 9.3.3“ atnaujinimuose.

Pernai metais kibernetiniu saugumu užsiimantys specialistai aptiko tai ką jie įvardino kaip „didžiausią “Androidsaugumo spragą“. Ši spraga, pavadinta „Stagefright“ leido užkrėsti įrenginį paprasčiausiai į jį pasiuntus MMS žinutę, jos nereikėjo net atidaryti.

„Cisco“ ekspertai panašų pažeidžiamumą, leidžiantį prieiti prie įrenginyje išsaugotų slaptažodžių ir failų pasiunčiant užkrėstą paveikslėlio failą, aptiko ir „OS X“ bei „iOS“ operacinėse sistemose. „Cisco Talos“ aptiko saugumo spragą „Image I/O API“ esančiame TIFF atvaizdų failų apdorojimo algoritme. Specialiai sukurtas TIFF paveikslėlis aplikacijose, kurios naudoja „Image I/O API“ gali perpildyti buferį ir tokiu būdu inicijuoti nutolusiame serveryje esančio kodo paleidimą pažeidžiamose sistemose ir įrenginiuose.

Kadangi saugumo spraga aptikta „Apple API“ naudojamoje visoje eilėje aplikacijų, iš principo, piktybinio kodo paleidimas įrenginyje gali būti inicijuotas visoje eilėje aplikacijų, nuo „iMessage“ žinutės iki apsilankymo tokį TIFF paveikslėlį turinčioje interneto svetainėje. Kaip ir „Stagefright“ atveju – vartotojui daryti nieko nereikia, kad tas kodas būtų paleistas.

Išnaudojant šią saugumo spragą nereikia jokių specialių veiksmų iš įrenginio ar sistemos naudotojo pusės, nes daugelio aplikacijų nustatymuose (pvz. „Messages“) yra nurodyta apdoroti paveikslėlius vos jie yra gaunami. Kadangi ši saugumo spraga yra aptikta „OS X 10.11.5“ ir „iOS 9.3.2“ bei tikėtina yra ankstesnėse „Apple“ operacinių sistemų versijose – pažeidžiamų įrenginių skaičius yra labai didelis.

„Cisco“ neskelbė viešai apie šią saugumo spragą iki „Apple“ neišleido ją panaikinančių sistemų atnaujinimų. Ši saugumo spraga ištaisyta „OS X El Capitan 10.11.6“, „iOS 9.3.3“, „tvOS 9.2.2“ ir „watchOS 2.2.2“ operacinių sistemų atnaujinimuose. Tačiau „Apple“ dar nėra išleidusi šią saugumo spragą ištaisančių atnaujinimų skirtų „OS X Mavericks“ ir OS X Yosemite“.

Teisingumo dėlei reikia paminėti, kad „Cisco“ yra pademonstravusi šios saugumo spragos veikimo įrodymą tik „OS X“, tačiau teigė jog tai, kad „OS X“ dalinasi duomenimis su „iOS“ įrenginiais, gali reikšti kad „iOS“ įrenginiai taip pat yra pažeidžiami. Papildomai, „Cisco“ pademonstravo saugumo spragos veikimą tik pasitelkdama interneto svetainės pavyzdį ir MMS ar „Messages“ buvo paminėtos tik kaip potencialiai rizikingos aplikacijos, tačiau to praktiniais įrodymais nepagrindė.

Nors kol kas nėra informacijos, kad šis užkratas būtų kaip nors panaudotas už „Cisco“ laboratorijos ribų – ramybės dėlei, matyt, verta atnaujinti savo „Mac“ kompiuterių ir „iOS“ įrenginių sistemas į naujusias.

Apytikslis skaitymo laikas – 2 minutės.
Pasidalinti straipsniu:

Apie Ramūną Blavaščiūną

Fotografijos, geros technikos ir kavos mylėtojas, didelę savo laisvalaikio dalį skiriantis straipsnių „Mac Arena“ rašymui.

Komentarų: 4 | Ačiū, kad rašote lietuviškai

  1. Sveikas norejau paklausi , kodėl nebus ant iPhone 4s iOS 10 o Kitas klausimas , kodel Apple mažiau davė atnaujinimus 9 iOS kodel negalėjo duoti iOS 9.3.4 arva iOS 9.4 ar panašiai?

    • Dėl „iPhone 4s“ - na negali gi amžinai palaikyti įrenginių. Naujose operacinių sistemų versijose atsiradusių funkcijų nepalaiko tų įrenginių geležis bei sudėtingesnė operacinė sistema naudoja daugiau įrenginio resursų ir jis veikia per lėtai, kad „Apple“ galėtų sau leisti jį vadinti palaikomu įrenginiu. Kai ten bebūtų „iPhone 4s“ pasirodė 2011 metų rudenį - prieš penkis, be poros mėnesių, metus.
      Atnaujinimų versijos numeravimas nurodo ar ši versija ištaiso klaidas (trečias skaičius po taško), ar įdiegus ją įrenginyje atsiras naujos funkcijos (antras skaičius po taško).

    • nu ir klausimai :) koks skirtumas kaip atnaujinimas vadinsis : ar 9.3 ar 9.5 ...iš kokio slepo čia išlindai ?

  2. Is miško.

Parašykite komentarą

Jūsų elektroninio pašto adresas nebus viešinamas. Būtini laukai pažymėti *

*