IT-BRANSJEN

Har funnet ekstremt kritisk sårbarhet. Minner om feil som herjet i fjor sommer

21. juli 2016 - 10:53

Apple har fikset et sikkerhetshull i iOS og OS X som langt på vei ligner på det beryktede sikkerhetshullet Stagefright som man fant i Android-telefoner i fjor sommer.

Stagefright kunne utnyttes ved hjelp av spesielt utformede mediefiler. Disse kunne for eksempel inkluderes i en MMS-melding som ble sendt til enheten.

Stagefright ga på noen enheter tilgang til systemgruppen, som hadde privilegier nesten på root-nivå.

– Ekstremt kritisk

Denne gangen er det også visse type bildefiler som er kilden til sårbarheten. Det var Cisco som oppdaget feilen som kan bli utnyttet ved å sende et bilde som vedlegg i en e-post, som meldinger eller via websider.

– Dette er en ekstremt kritisk sårbarhet om man sammenligner den med Stagefright. En mottaker av en MMS kan ikke forhindre et angrep, da MMS benytter seg av en mellomlagringsfunksjon ved sending.

– Det gjør at angrepet blir gjennomført med en gang telefonen skrus på, selv om den har vært avslått da meldingen ble sendt, sier sikkerhetsforsker, Tyler Bohan, til Forbes.

Sårbarheten skyldes at Apple produktene automatisk prøver å generere en forhåndsvisning av bildefilene.

Får full kontroll

Når dette skjer mister produktene kontroll over hvordan de håndterer mellomlagringsminnet. Ondsinnet kode som ligger lagret i bildefilne vil derfor kjøre. Det gjør at angriperen får kontroll over den utsatte enheten.

Selv om koden kjører uten rettigheter på den kompromitterte enheten kan det være andre lokale tilganger som kan gi angriperen adminrettigheter, skriver Softpedia.

Apple har lansert flere sikkerhetsoppdateringer som vil fikse problemene i iOS 9.3.3, tvOS 9.2.2, watchOS 2.2.2, og El Capitan v10.11.6.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Tekjobb-Indeksen 2024!
Les mer
Tekjobb-Indeksen 2024!
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra