iOS ma groźną dziurę w obsłudze plików JPEG i PDF

iPhone, iPad i iPod może być zaatakowany przez hakerów za pomocą obrazka JPEG lub pliku PDF - wystarczy, że właściciel urządzenia otworzy spreparowany plik. Co gorsza, na starsze modele nie będzie poprawki, która przed tym chroni.

rajwyk z dodany: 31.10.2016, 15:00:33

54
Odpowiedz

Komentarze (54)

najlepsze

Zlychomikzjecie

31.10.2016, 16:49:49

Wśród urządzeń, które zostały przez producenta pominięte, jest popularny w Polsce nieco starszy iPhone.

Właściciele starszych modeli, na które poprawka się nie ukazała, muszą więc unikać otwierania obrazów JPEG i dokumentów PDF – bądź też zmienić telefon na nowszy.

To raczej nie bug.

Fr33

31.10.2016, 18:07:09

@Zlychomikzjecie: Najstarszym wspieranym na chwilę obecną modelem iPhone jest iPhone 5 który wyszedł w 2012r.
Wydaje mi się że ponad 4 letnie wsparcie dla jednego modelu to naprawdę długo...

Fr33 - @Zlychomikzjecie: Najstarszym wspieranym na chwilę obecną modelem iPhone jest ... — **źródło:** comment_hXbprQssvFpQLg0QWn2WBWZWJskVp4j6.jpg
Pobierz

DaemonKazoom

31.10.2016, 21:05:12

@Big_Kahuna: A nie jest tak? Androidy są wspierane conajwyżej 2 lata (przy dobrych wiatrach i flagowcach, samo google wymaga od producentów "wspierania" telefonów na okres 18 miesięcy + ewentualnie rok na poprawki bezpieczeństwa). Nalegam, znajdź mi Smartfon który jest oficjalnie wspierany (więc czarymary z HTC HD2 się nie liczą) tak jak iPhone (czyli 4-5 lat).

L.....e

konto usunięte 31.10.2016, 15:56:35 via iOS

I już wyszła poprawka w 10.1 wiec nie ma sie czegoś bać. P

tedek

01.11.2016, 05:31:52 via iOS

Komentarz usunięty przez moderatora

lent

31.10.2016, 23:04:03

Z tymi starszymi modelami to niekonicznie prawda, bo jak jakiś czas temu znaleziono poważny błąd to wydali poprawkę nawet dla niewspieranych już modeli. 3GS dostał wtedy update do 6.1.6 (5 lat po premierze) pomimo tego, że od dwóch lat był już niewspierany.

lent

01.11.2016, 09:46:57

@lent: O kurde, ale ten Apple hojny.

@p1ter69: Wydali - źle. Nie wydali - źle. Wam się nie da dogodzić, nie?

lent

01.11.2016, 10:08:34

@lent: Dlatego np, moto G, updejty, cena 1000 zł profit.

@p1ter69: No to super, niech Ci służy.

jacqbus

31.10.2016, 22:10:09

Najlepsza rada ever:

Właściciele starszych modeli, na które poprawka się nie ukazała, muszą więc unikać otwierania obrazów JPEG

Przeglądarki same pobierają i renderuja jpegi, więc użytkownik raczej nie ma dużo do powiedzenia, chyba, że zablokuje ładowanie obrazków na wszystkich stronach.

nihon

01.11.2016, 02:31:34

@jacqbus: widać, że nie masz podstaowego pojęcia o tym, co piszesz. Co innego wyświetlać plik przez przeglądarkę internetową, a co innego otwierać go w galerii.

jacqbus

01.11.2016, 11:34:16

@nihon: znam różnicę, ale możesz mi pokazać w którym miejscu opisany jest sposób otwarcia pliku? Zresztą w tytule użyto słowo "w obsłudze" a nie otwieraniu w galerii czy innym programie.

fiksbo

31.10.2016, 16:17:45 via iOS

Aktualizacja do 10.1.1 jest dostępna.

bartfto

31.10.2016, 23:14:11 via iOS

@fiksbo: o, dzięki

kxysieg

02.11.2016, 00:04:19 via iOS

@Moskwianin:

xan-kreigor

31.10.2016, 21:37:45

co ciekawe jedne z pierwszych exploitów na PSP i PS3 zostały "odkryte" przez błąd w bibliotece do obsługi TIFFów

kowalzmetina

31.10.2016, 23:58:03 via Android

@xan-kreigor: na PSP pamiętam ChickHEN (zdjęcie jajka w formacie TIFF) i MHUspeed. Po jakiejś aktualizacji wycofano obsługę tych plików

k.....n

konto usunięte 01.11.2016, 11:47:34

Pamiętam jak w Sony Ericssonach z lat ~2005-2008 można było robić podobne rzeczy, tylko że tam atakowało się telefon grafiką animacji.
Najpopularniejszą grafiką była czaszka, której otworzenie powodowało restart telefonu, chociaż wydaje mi się, że w niektórych modelach występował nawet reset do ustawień fabrycznych (⌐ ͡■ ͜ʖ ͡■)
picrel

k.....n - Pamiętam jak w Sony Ericssonach z lat ~2005-2008 można było robić podobne r... — **źródło:** comment_IX872H3TjkSSZewzFCSZxUMKYsCPbQCT.gif
Pobierz

GotoFinal

01.11.2016, 13:26:30

Otworzenie obrazka powoduje wywołanie kodu, ja się pytam jak? To jest obrazek, ma tylko pokazać pixele na ekranie... jak oni mogli to aż tak popsuć? Zgaduje że ma to pewnie jakiś związek z niepoprawnymi informacjami, np w pliku jest więcej pixeli niż informuje nagłówek a system ładuje całość - nadmiarowe pixele trafiają do innego miejsca w pamięci i jakimś cudem się potem wykonują... dalej nie wiem jak, już od dawna chyba każdy

GotoFinal

02.11.2016, 07:50:32

Treść przeznaczona dla osób powyżej 18 roku życia...

albireoima

02.11.2016, 09:39:08

@GotoFinal: Prawdopodobnie klasyczne przepełnienie bufora, jeśli przepełniany bufor jest na stosie (nie jest to konieczne, ale znacznie ułatwia sprawę), to można tak zmodyfikować adres powrotu z funkcji, że wywoła nasz kod, jeśli procesor ma możliwość (a os to obsługuje), to można się częściowo przed tym zabezpieczy blokując wykonywanie się kodu w obszarze danych, ale jeśli można z poziomu aplikacji znieść tą ochronę, to wystarczy nieco bardziej zmodyfikować stos i najpierw