Alfonso Maruccia

Apple sistema cinque falle in stile Stagefright

Cupertino non sfugge alla compromissione da remoto per mezzo di contenuti multimediali, un problema giÓ noto in ambiente Android. Patch disponibili

Roma - Apple ha rilasciato le versioni aggiornate di iOS e OS X con l'obiettivo specifico di chiudere cinque vulnerabilità di sicurezza potenzialmente molto pericolose, problemi in larga misura riguardanti la gestione incorretta dei contenuti multimediali da parte delle librerie native del software di Cupertino.

Si tratta in sostanza di un nuovo caso Stagefright, anche se ora il sistema vulnerabile alla compromissione è iOS e non Android: la vulnerabilità CVE-2016-4631 riguarda la API di elaborazione delle immagini TIFF, progettata per processare i contenti in anticipo sull'intervento dell'utente per estrapolare una miniatura da mostrare su schermo.

Come con le librerie Stagefright di Android, anche in questo caso è possibile modificare ad arte un'immagine per causare un errore di buffer overflow, mandando in esecuzione codice malevolo da remoto e potenzialmente compromettendo il computer o il terminale dell'utente.
La API incriminata è presente di sicuro in OS X 10.11.5 e iOS 9.3.2, anche se i ricercatori ipotizzano l'esistenza dello stesso problema anche in altre versioni dei suddetti sistemi operativi; gli altri bachi coinvolgono la gestione del formato HDR OpenEXR (CVE-2016-4629, CVE-2016-4630), del formato DAE in Scene Kit e altre app (CVE-2016-1850), e infine l'elaborazione delle immagini in formato BMP tramite Core Graphics API (CVE-2016-4637).

Un malintenzionato potrebbe sfruttare una delle cinque vulnerabilità tramite embed nelle pagine Web, email, messaggi (MMS/iMessages) e altre applicazioni terze, e in tutti i casi è altamente consigliato l'upgrade alle nuove versioni di iOS (9.3.3) tvOS (9.2.2) watchOS (2.2.2) e OS X El Capitan (10.11.6).

Alfonso Maruccia
Notizie collegate
  • SicurezzaStagefright ritorna in scena su AndroidLe vulnerabilitÓ che affliggono la libreria che gestisce i file multimediali sono ancora sfruttabili, nonostante le misure di sicurezza implementate da Google sulle versioni 5.0 e 5.1 dell'OS. A dimostrarlo c'Ŕ l'exploit Metaphor
17 Commenti alla Notizia Apple sistema cinque falle in stile Stagefright
Ordina