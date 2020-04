Apple korjasi haavoittuvuuksia, joilla oli arviolta mahdollista kaapata laite ilman käyttäjän vuorovaikutusta. Asiasta kirjoittaa ZDNet.

Googlen tietoturvatutkijat löysivät Applen ohjelmakoodista useita haavoittuvuuksia, joiden seuraukset olisivat voineet olla todella vakavia käyttäjille. Googlen Project Zero -tiimin raportista uutisoivan ZDNetin mukaan ongelmat majailivat ohjelmassa, joka käsittelee kuvatiedostoja.

Kyseinen Applen Image I/O -ohjelma on osa yhtiön kaikkia käyttöjärjestelmiä, kuten iOS, macOS ja watchOS, ja suuri osa niiden sovelluksista käyttää tekniikkaa hyväkseen kuvien käsittelyssä. Tutkijat syöttivät Image I/O:lle poikkeavaa dataa löytääkseen aukkoja sen toiminnasta. Tuloksena oli kuusi haavoittuvuutta ja vielä kahdeksan muuta haavoittuvuutta, jotka sijaitsivat Image I/O:n mukana tulevassa avoimen koodin OpenEXR-kirjastossa.

Vaikka tutkijat eivät heti löytäneet keinoa kaapata laitteita aukkojen avulla, se on heidän mukaansa varsin mahdollista. Joitakin aukkoja uskotaan olevan mahdollista käyttää laitteiden kaappaamiseksi matkojen päästä ilman että käyttäjä näpäyttää tai klikkaa mitään.

– Valitettavasti on myös todennäköistä, että muita virheitä on yhä olemassa tai niitä syntyy tulevaisuudessa, Project Zero -tiimin Samuel Groß sanoo raportissa.

Groß suosittaa sekä Applen että muiden vastaavien mediakoodien tutkimista jatkossakin. Samaten hänen mielestään valmistajien tulisi aggressiivisesti vähentää mahdollisuuksia tällaisiin hyökkäyksiin niin käyttöjärjestelmissä kuin pikaviestisovelluksissa. Niissä se voisi tapahtua rajoittamalla hyväksyttyjä kuvaformaatteja.

Aukot on kaikki jo korjattu, osa niistä kuukausia sitten. Jos olet antanut käyttöjärjestelmän päivittyä normaalisti, sinun pitäisi jo olla suojassa.