更多

    【緊急更新】iPhone 、 Apple TV 、 Apple Watch 、 Mac 機睇圖就中毒!

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    Cisco TALOS 的 Tyler Bohan 最近透過網誌透露發現 Apple 多種裝置存在嚴重漏洞,用戶只要在瀏覽器、電郵、短信等可以看到圖片的程式,去閱覽含有惡意程式碼的圖檔,就會觸發漏洞,執行程式碼而不會觸發任何警告。
    Apple 在各種裝置都提供一個 Image I/O API 來開啟圖檔,所有使用這個 API 的程式,包括 iMessage ,當遇到圖片的時候,都會使用這 API 來嘗試自動描繪圖像在畫面上。但是這個 API 的漏洞,就導致駭客可以在特定格式的圖檔中插入惡意程式碼。由於 Image I/O API 是不需要授權就自動執行,所以不會出現任何操作和警告,就可以遙控被攻擊的裝置。
    由於 Image I/O API 被廣泛地用在各種 Apple 裝置上, iPhone 、 iPad 、 Apple Watch 、 Apple TV 以至 Mac 機都會中招。 Tyler Bohan 表示受影響包括 iOS 9.3.2 和 OS X 10.11.5 ,但相信所有過去的版本都有同樣的漏洞。由於 Mac 機不像其他裝置使用 Sandbox 架構,所以問題更為嚴重,隨時可以洩露儲存在機裡的所有密碼。
    幸而,所涉及的圖檔格式都不是很常用在網頁上,有問題的圖檔格式包括: TIFF 、 OpenEXR 、 Digital Asset Exchange 和 BMP ,其中 Digital Asset Exchange 其中一個漏洞已在 OS X 10.11.5 修正了。不過 TIFF 和 BMP 始終是在設計和  Windows 上很常用的圖檔格式,所以危險性還是很大的。
    Apple 經已在各個平台上發布更新檔,使用 Apple 產品的所有用戶應該立即更新。
    Mac OS X 10.11.6
    iOS 9.3.3
    資料來源:CISCO TALOS
    相關連結:
    OS X 10.11.6 更新說明

    iOS 9.3.3 更新說明

    您會感興趣的內容

    相關文章