Krzysiek Borek11.04.2016
Apple wyeliminowało błąd wycieku wiadomości z iMessage prostą aktualizacją OS X

Ostatnio naukowcy wyjaśnili lukę w zabezpieczeniach aplikacji iMessage, będącej integralną częścią OS X El Capitan. Łatka eliminująca błąd pojawiła się w ubiegłym miesiącu, ale do tej pory nikt nie opisał błędu szczegółowo.

W momencie kliknięcia w przygotowany przez hakera link, uzyskuje on dostęp do najczęściej szyfrowanych wiadomości. Za odkryciem stoją naukowcy z Bishop Fox, którzy zajmują się zabezpieczeniami systemów operacyjnych.

You don’t need a graduate degree in mathematics to exploit it, nor does it require advanced knowledge of memory management, shellcode or ROP chains

Kliknięcie w odpowiednio spreparowany link daje dostęp do większości wiadomości (sam tekst) i przesłanych/otrzymanych załączników. Ta część JavaScriptu wygląda dokładnie, jak link, ale wtedy uruchamia się XSS, którego zadaniem jest wysłanie danych z iMessage do zdalnego serwera. Tego typu błędy zazwyczaj dotykają tylko i wyłącznie przeglądarki witryn internetowych, ale WebKit może je przenosić do innych aplikacji.

Grupa naukowców wysłała szczegółowe informacje o błędzie CVE-2016-1764 do Apple, zanim osobiście wyjaśniła, jak działa. Pamiętajcie, żeby zawsze korzystać z najnowszej wersji oprogramowania, aby uniknąć podobnych problemów i sprawdzajcie, w co klikacie…

Źródło: engadget.com
Polub nas na Facebooku, obserwuj na Twitterze, dodaj do Google+ lub RSS

The Sins never die
@krzysiek_borek