iOS-устройства до версии 8.0 подвержены критической уязвимости


AppleЭкспертами из компании Binamuse был выявлен пакет эксплоитов, которые эксплуатируют уязвимость CVE-2014-4377. Стоит напомнить, что данная уязвимость  вызывает порчу памяти в графической библиотеке iOS. При использовании этой бреши, злоумышленники могут выполнить произвольный код на устройстве пользователя. Для этих целей им достаточно загрузить модифицированный PDF-файл через браузер Safari.

Уязвимости подвержены все устройства, которые работают под управлением iOS 7.1. А именно:

  • смартфоны iPhone 4S;
  • планшеты iPad 2;
  • медиаплееры iPod touch 5 и более новые модели.


Кроме того, брешь влияет на работу Apple TV с версией ниже 7.

Проблема кроется в возможности браузера Safari Mobile, используемом в iOS-устройствах, идентифицировать PDF-файл в качестве изображения, конечно, при условии, что ссылка на такой файл указана в HTML-теге <image>. И если пользователь зайдет на страницу с такой разметкой, то на устройство пользователя будут загружены PDF-файлы без ведома владельца устройства.

Кроме того, фреймворк CoreGraphics не способен правильно обрабатывать такие файлы, поэтому при изменении некоторых параметров PDF-файла, произойдет утечка памяти. По такому принципу киберпреступники могут проэксплуатировать эту уязвимость и выполнить произвольный код в браузере Safari Mobile.

Чтобы устранить данную уязвимость пользователям iOS-устройств необходимо обновить мобильную ОС до версии 8.0.


Обновлено (24.09.2014 17:14)