Критическая уязвимость в iOS 7.1 позволяет выполнить произвольный кода на устройстве жертвы

Загрузив модифицированный PDF-файл через браузер Safari, злоумышленник может получить полный контроль над девайсом пользователя.
Эксперты компании Binamuse обнаружили пакет эксплоитов, эксплуатирующих уязвимость CVE-2014-4377 , вызывающую порчу памяти в графической библиотеке iOS. Об этом они пишут в своем блоге. Используя брешь, злоумышленники могут загрузить модифицированный PDF-файл через браузер Safari и выполнить произвольный код на устройстве пользвателя.
Уязвимость затрагивает все устройства, работающие под управлением iOS 7.1. Таким образом, уязвимыми являются смартфоны iPhone 4S, планшеты iPad 2 и медиаплееры iPod touch 5 и более новые модели. Брешь также влияет на работу Apple TV с версией ниже 7.
Проблема заключается в том, что браузер Safari Mobile, который используется в iOS-устройствах, может идентифицировать PDF-файл в качестве изображения, если ссылка на такой файл указана в HTML-теге <image>. Если посетить страницу, в которой используется такая разметка, браузер загрузит на устройство пользователя PDF-файлы без его ведома. В то же время фреймворк CoreGraphics не способен правильно обработать такие файлы, и в случае изменения некоторых параметров PDF-файла происходит утечка памяти. Киберпреступники могут проэксплуатировать эту уязвимость и выполнить произвольный код в браузере Safari Mobile.
Представители Apple незамедлительно признали факт наличия уязвимости. Большинству пользователей iOS-устройств рекомендуется обновить мобильную ОС до версии 8.0.

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Критическая уязвимость в iOS 7.1 позволяет выполнить произвольный кода на устройстве жертвы, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Представлен смартфон Xiaomi Mi 6X (будущий Mi A2), получивший SoC Snapdragon 660 и экран 18:9 - 25.04.2018: STFW.Ru: Сегодня в Китае был анонсирован весьма значимый смартфон Xiaomi Mi 6X. Значимость


•  Крупнейший маркет одежды украинских брендов «Всі.Свої» запустил собственный онлайн-магазин - 25.04.2018: STFW.Ru: Крупнейший магазин одежды и обуви украинских брендов «Всі.Свої» запустил


•  Opera представила новый мобильный браузер Opera Touch с «одноруким» интерфейсом и функцией защищенной синхронизации Flow - 25.04.2018: STFW.Ru: Компания Opera представила новый мобильный браузер Opera Touch, который создан


•  Сторонникам отделения Калифорнии от США разрешили начать сбор подписей - 25.04.2018: STFW.Ru: Госсекретарь Калифорнии Алекс Падилья разрешил начать сбор подписей в


•  Генштаб представил элементы ракет производства США, Великобритании и Франции - 25.04.2018: STFW.Ru: Москва. 25 апреля. INTERFAX.RU - Генеральный штаб Вооруженных сил России показал


•  [Мнение] Business Insider рассказал о "машине Судного дня Путина", способной вызывать цунами - 25.04.2018: STFW.Ru:  Американские ядерные физики считают, что с помощью нового подводного дрона