Компонент Stagefright, отвечающий за обработку медиа-данных в Android, уже долгое время является главным фигурантом бюллютеней безопасности, которые выпускает Google. Но, как оказалось, от подобных уязвимостей оказалась не защищена и Apple, у которой в аналогичных подсистемах обнаружили множественные уязвимости.
Информацию об уязвимостях в продуктах Apple опубликовал отдел Talos корпорации Cisco, специализирующийся на разработке сетевых средств безопасности. Согласно размещённым пояснениям, у операционных систем iOS, macOS, tvOS и watchOS содержались ошибки и нестрогие проверки при обработке изображений для создания миниатюр. Так, например, компонент Image I/O API содержал дефекты, позволявшие привести к ошибкам типа переполнения буфера, из-за чего любая программа, обрабатывающая изображения формата TIFF, могла позволить злоумышленнику провести удалённое выполнение кода. Непосредственного вмешательства пользователя и не требовалось, так как ему достаточно было получить особым образом сформированное изображение со вшитым вредоносным кодом через MMS или сообщение iMessage. Похожие уязвимости были найдены в компонентах, обрабатывающих форматы OpenEXR и BMP в разных системах от Apple.
Согласно утверждениям Cisco Talos, информация об уязвимостях была опубликована только после того, как Apple была уведомлена о них и выпустила исправления. Специалисты Cisco считают, что графические элементы могут получить широкое распространение в качестве главного носителя вредоносного кода. По мнению исследователей пользователи постепенно понимают опасность запуска незнакомых исполняемых файлов, и злоумышленникам придётся искать новые методы для выполнения нужного им кода. В свете уязвимостей в Android Stagefright и Apple Image I/O API изображения, не требующие от пользователя никаких действий, становятся довольно опасным типом файлов. В Cisco считают, что эту проблему могут решить только разработчики операционных систем, которым стоит проводить более строгую инспекцию исходного кода своих медиа-фреймворков.
В статье речь идёт об уязвимостях с уникальными идентификаторами CVE-2016-4631, CVE-2016-4629, CVE-2016-4630, CVE-2016-1850 и CVE-2016-4637.