Cisco TALOS 的 Tyler Bohan 最近透過網誌透露發現 Apple 多種裝置存在嚴重漏洞,用戶只要在瀏覽器、電郵、短信等可以看到圖片的程式,去閱覽含有惡意程式碼的圖檔,就會觸發漏洞,執行程式碼而不會觸發任何警告。
Apple 在各種裝置都提供一個 Image I/O API 來開啟圖檔,所有使用這個 API 的程式,包括 iMessage ,當遇到圖片的時候,都會使用這 API 來嘗試自動描繪圖像在畫面上。但是這個 API 的漏洞,就導致駭客可以在特定格式的圖檔中插入惡意程式碼。由於 Image I/O API 是不需要授權就自動執行,所以不會出現任何操作和警告,就可以遙控被攻擊的裝置。
由於 Image I/O API 被廣泛地用在各種 Apple 裝置上, iPhone 、 iPad 、 Apple Watch 、 Apple TV 以至 Mac 機都會中招。 Tyler Bohan 表示受影響包括 iOS 9.3.2 和 OS X 10.11.5 ,但相信所有過去的版本都有同樣的漏洞。由於 Mac 機不像其他裝置使用 Sandbox 架構,所以問題更為嚴重,隨時可以洩露儲存在機裡的所有密碼。
幸而,所涉及的圖檔格式都不是很常用在網頁上,有問題的圖檔格式包括: TIFF 、 OpenEXR 、 Digital Asset Exchange 和 BMP ,其中 Digital Asset Exchange 其中一個漏洞已在 OS X 10.11.5 修正了。不過 TIFF 和 BMP 始終是在設計和 Windows 上很常用的圖檔格式,所以危險性還是很大的。
Apple 經已在各個平台上發布更新檔,使用 Apple 產品的所有用戶應該立即更新。
資料來源:CISCO TALOS
相關連結:
OS X 10.11.6 更新說明
iOS 9.3.3 更新說明
