В софте Apple нашли изъян в компоненте, помогающем программам считывать картинки

ТАСС

МОСКВА, 23 августа. /ТАСС/. Пользователи устройств на операционках iOS, iPadOS и macOS от Apple оказались уязвимы перед хакерами из-за уязвимости в компоненте ImageIO, позволяющем приложениям считывать и записывать файлы картинок, следует из информации на сайте вендора. Брешь при эксплуатации может привести к повреждению памяти, что подтвердили ТАСС в российской компании Positive Technologies.

С помощью ImageIO приложения считывают и записывают файлы большинства форматов изображений, согласно его описанию. Платформа управляет цветами, дает доступ к метаданным изображений (к модели устройства, времени, месту и настройкам камеры при съемке и так далее) и в целом высокоэффективна. Она поддерживается на iOS 4.0+, iPadOS 4.0+ и macOS 10.8+, а также на других ОС от Apple.

Apple предупредила пользователей, что знает о возможном применении этой уязвимости в реальной и "чрезвычайно сложной" атаке на конкретных людей. Брешь уже исправлена, в связи с чем рекомендуется установить последние обновления безопасности. Национальный репозиторий уязвимостей правительства США дает "дыре" оценку в 8,8 из 10 по шкале оценки опасности (CVSS), банк данных угроз ФСТЭК России - такую же, но приводит оценку и по более ранней версии шкалы, где уязвимость оценена в 10 из 10.

Согласно оценке ФСТЭК, уязвимость связана с "выходом операции за границы буфера в памяти". Ведущий эксперт PT Expert Security Center в Positive Technologies Александр Леонов пояснил ТАСС, что "дыры" такого рода - основа для атак, когда хакерам от пользователя требуется добиться либо минимального действия, либо ничего. Как пример, его либо попросят открыть картинку, либо же картинка откроется сама при получении сообщения в соцсети, что приведет к последствиям.

"Конкретно эта уязвимость - в системном компоненте, и в теории ее может проэксплуатировать злоумышленник через любое приложение, которое этот компонент использует. Подобные уязвимости потенциально могут приводить к сбоям, повреждению данных или даже удаленному выполнению кода", - предупредил Леонов. Он добавил, что такие бреши бывают и в приложениях, но те "чаще обновляются".

Выполнение произвольного кода, напомнил специалист, потенциально дает хакеру возможность повысить себе привилегии в системе, получить данные с устройства, в котором он находится, и, возможно, зашифровать его. Еще один вариант - злоумышленник может использовать пораженный гаджет в качестве точки входа, чтобы развить атаку на инфраструктуру организации.