您的位置:主页 > L旺生活 >快更新到 iOS 10.1,否则骇客可透过 JPEG 图片骇入你的手机

快更新到 iOS 10.1,否则骇客可透过 JPEG 图片骇入你的手机

时间:2020-07-09作者: 分类:快更新到 iOS 10.1,否则骇客可透过 JPEG 图片骇入你的手机

快更新到 iOS 10.1,否则骇客可透过 JPEG 图片骇入你的手机

Apple 在 iOS 10.1 版的更新公告中提到,该版更新修正了 CVE-2016-4673 漏洞,不过反过来说,也就是在这个版本之前的 iOS 将曝露于安全风险之下。攻击者可以利用特殊的 Jpeg 图片或 PDF 文件,从远端骇入手机并植入恶意程式,最好的反制方式当然就是赶快把 iOS 升级到 10.1 版啰。

尽速升级确保安全

根据 Apple 释出的 iOS 10.1 更新公告,在 CoreGraphics 这个段落中,提到了 CVE-2016-4673 的安全修正。新版系统将透过改进记忆体管理的方式,来解决记忆体运作错误(Memory Corruption),以避免在查看恶意 JPEG 图片时,可能会导致系统允许执行任意程式码的问题。

根据 The Hacker News 网站报导,这个漏洞不只能让攻击者利用 JPEG 图片做为跳板,PDF 文件或字型档案也都能做为挟持 iDevice 的武器。

攻击者可以透过网站或 E-Mail 从远端传送动过手脚的特殊档案,当不知情的受害者看到这些图片或文件后,攻击者就能在系统上执行恶意程式,让使用者与装置曝露于资安风险之下。

使用者可以在装置上进入设定 App,并在一般→软体更新选项中,将装置升级至 iOS 10.1 版,不过需要注意的是,该升级档仅支援 iPhone 5、第 4 代 iPad、第 6 代 iPod touch 以及较新的装置,因此 iPhone 4s 等较旧装置就无法安装这个更新档。

另一方面,与 iOS 10.1 版同一时间释出的 watchOS 3.1 版、tvOS 10.0.1 版以及 macOS Sierra 10.12.1 版,也修正了 CVE-2016-4673 漏洞,因此建议 Apple Watch、Apple TV 以及 Mac 电脑的使用者,尽快进行系统更新,以确保安全。

快更新到 iOS 10.1,否则骇客可透过 JPEG 图片骇入你的手机

在 Apple释出的 iOS 10.1 更新公告中,可以看到已将 CVE-2016-4673 漏洞修补起来。

快更新到 iOS 10.1,否则骇客可透过 JPEG 图片骇入你的手机

使用者可以到手机的设定 App 中选择软体更新。

快更新到 iOS 10.1,否则骇客可透过 JPEG 图片骇入你的手机

其详细的位置在设定→一般→软体更新。

快更新到 iOS 10.1,否则骇客可透过 JPEG 图片骇入你的手机

Apple Watch 的使用者也可更新至 watchOS 3.1 修复漏洞。

快更新到 iOS 10.1,否则骇客可透过 JPEG 图片骇入你的手机

Apple TV 则需更新至 tvOS 10.0.1 版。

快更新到 iOS 10.1,否则骇客可透过 JPEG 图片骇入你的手机

Mac 桌上型电脑与笔记型电脑则需更新至 macOS Sierra 10.12.1 版。

透过图片取得系统权限

回顾过去,也有另外一起使用图片做为跳板的着名攻击案例,就是针对 Sony 推出的 PlayStation Portable 掌上型游戏主机进行的 HEN 工具。

以对应 2.71 版韧体的 HEN 为例,它的原理是透过主机的图片浏览器,读取动过手脚的 PNG 图片,并向程式输入缓冲区写入超过缓冲区容量的资料,进而引发缓冲区溢位(Buffer Overflow),如此一来便能取得系统的使用者模式(User Mode)控制权,虽不像取得核心模式(Kernel Mode)控制权,能让主机执行备份甚至盗版游戏,但却能让玩家在主机上执行如模拟器、小游戏等自製程式。

由于游戏主机不像智慧型手机、平板电脑、电脑等装置储存重要文件、信用卡资料、个人资料等敏感内容,所以对使用者来说危害并不大。但是如果有心人士攻击的对象是智慧型手机、平板电脑、电脑等装置的话,不但可能会造成档案毁损,使用者的机敏资料也可能会不慎外流,因此需要格外注意管理。

HEN 是个只要以主机浏览特定图片,就能取得系统权限的攻击方式,影片为 5.03 版韧体的 HEN 操作示範。

相关阅读:

随机推荐

热点聚集

最新文章