Apple выпустила исправление для критической уязвимости в iOS

Александр Панасенко 12 Августа 2010 - 13:08

...

Компания Apple сегодня выпустила ранее обещанное обновление для мобильной операционной системы iOS, которое делает ее неуязвимой для бага, связанного с неверной обработкой PDF-файлов. Обновления iOS 4.0.2 и iOS 3.2.2 уже доступны для пользователей iPod Touch, iPhone 3GS и 4, а также iPad. Скачать обновление можно бесплатно.

Ранее в интернете уже начали появляться готовые для использования наборы программного обеспечения, эксплуатирующие устраненную уязвимость.

Независимые ИТ-специалисты говорят, что устраненная уязвимость представляла собой проблему в открытой библиотеке шрифтов FreeType, которая применяется в рендеринговом движке iOS для отображения PDF-файлов. В результате эксплуатации данной уязвимости, в мобильных устройствах Apple можно было создать условия для переполнения буфера обмена программы, отвечающей за управление данными шрифтов. Таким образом, специально сконструированный PDF-файл, как например на сайте JailBreakMe.com, мог вызвать переполнение и открыть доступ к различным системным и пользовательским файлам.

Технически, при переполнении буфера происходило поднятие привилегий до уровня root-пользователя, что позволяло запускать на iPod, iPhone или iPad неподписанные программы с вредоносными функциями.

В Apple полностью признали опасность бага и сообщили, что выпустят исправление как можно быстрее.

Источник

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 24 Апреля 2025 - 20:19

Малый и средний бизнес Корпорации Positive Technologies

Более 50% российских компаний не знают, что есть в их ИТ-инфраструктуре

Специалисты выяснили, как компании из разных секторов — от ИТ и ретейла до промышленности и энергетики — управляют своими цифровыми активами. Оказалось, что многие пока не справляются с задачей на все сто: 54% респондентов признались, что не знают обо всех устройствах и системах, которые используются в их организациях.

А ведь «невидимые» активы — это потенциальные дыры в безопасности, которыми могут воспользоваться злоумышленники.

В опросе участвовало больше 130 компаний. Их спрашивали, какие подходы и инструменты они используют для управления активами, какие сложности встречаются, и чего ждут от систем класса asset management. Например, треть организаций не уверена, что у них есть точная информация об оборудовании и софте, на которых вообще всё держится.

Почти 80% регулярно добавляют или выводят из эксплуатации активы — минимум раз в квартал. Это создает риски: при смене оборудования легко не заметить уязвимости. На практике такие пробелы действительно находят — например, опасные конфигурации, через которые можно получить полный доступ к домену Active Directory.

Интересно, что только 15% компаний считают важным обеспечить защиту всех ключевых цифровых активов. Зато 63% понимают: просто управлять оборудованием недостаточно — нужно ещё и защищать его. Поэтому ИТ-специалисты всё чаще работают в связке с безопасниками.

Тем не менее пока что более-менее системно цифровыми активами управляют только две трети опрошенных. Большинство фокусируется на самых очевидных и крупных компонентах, теряя из виду остальное. И только 20% компаний контролируют хотя бы 80% своей инфраструктуры.

Остальные рискуют: даже пара забытых устройств с устаревшим софтом или неправильными настройками могут стать точкой входа для атаки. Часто дело не только в устройствах, но и в слабых паролях, неудачных настройках сервисов или дырах в веб-приложениях.

Как итог — без нормального управления активами сложно понять, где именно уязвимости, и что в первую очередь нужно закрывать. Инвентаризация и сбор конфигураций должны быть не просто формальностью, а рабочим инструментом для обеспечения безопасности. Без этого устойчивую защиту выстроить сложно.

Apple выпустила исправление для критической уязвимости в iOS

Читайте также