Уязвимости в iOS и OS X (macOS), которые позволяют взламывать устройство путем отправки вредоносного изображения, обнаружены исследователями из команды Cisco Talos.
Самая опасная из найденных уязвимостей расположена в компоненте ImageIO, который реализован во всех версиях OS X до 10.11.5 и iOS до 9.3.2. Как утверждают эксперты, причиной существования уязвимости является некорректная обработка графических TIFF-файлов в ImageIO. Хакер может воспользоваться проблемой, отправив созданное специальным образом изображение, результатом чего станет переполнение динамической памяти. В итоге злоумышленник сможет дистанционно выполнить вредоносный код, встроенный в файл, и захватить контроль над устройством.
Эта уязвимость очень опасна, поскольку количество затронутых устройств велико, а спектр векторов атаки крайне широк. Так, киберпреступник может отправить вредоносное изображение, используя iMessage, MMS-сообщения, различные веб-сайты и другие приложения, в которых графические файлы обрабатываются с помощью ImageIO. Использование уязвимости не предполагает взаимодействия с пользователем, так как во многих приложениях обработка изображений начинается автоматически.
Уязвимость была ликвидирована в версии iOS 9.3.3. Специалисты Apple 18 июля выпустили обновления для iCloud, iOS, iTunes, Safari, OS X, tvOS и watchOS, в рамках которых было исправлено более 100 уязвимостей.