Компания Apple представила обновленную версию приложения GarageBand (10.1.6), предназначенного для создания музыки и подкастов. GarageBand входит в состав пакета iLife, поэтому зачастую оно поставлялось предустановленным с новыми macOS-устройствами.

Проблему в GarageBand, которая опасна для пользователей OS X Yosemite и выше, обнаружили исследователи Cisco Talos. Свежее обновление адресовано уязвимости CVE-2017-2374, которая может привести к удаленному исполнению произвольного кода. Причем спровоцировать такое поведение можно простым открытием вредоносного .band-файла. По сути, атакующему достаточно применить социальную инженерию и убедить свою жертву запустить модифицированный .band-файл, чтобы эксплуатировать баг.

«Данная уязвимость возникает в результате того, как приложение парсит проприетарный формат файлов, используемый GarageBand, .band. Формат раздел на куски, каждый из которых имеет специфическую длину поля. Эта длина контролируется пользователем и может использоваться для выявления пригодного для эксплуатации состояния», — пишет специалист Cisco Talos Тайлер Бохан (Tyler Bohan).

 

Кроме того, в блоге команды Talos говорится о еще одной уязвимости, CVE-2017-2372, так же связанной с GarageBand. Данный баг был исправлен еще в середине января 2017 года.

Специалисты Apple и Cisco Talos сообщают, что им не известно о случаях эксплуатации описанных уязвимостей.

Читать также:  Что хочет ФСБ от Telegram, «ВКонтакте» и «Яндекса»?
Отказ от ответственности: Эта статья написана только для образовательных целей. Автор или издатель не публиковали эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор и издатель не несут ответственность за любой причиненный вред или ущерб.
Показать больше в Безопасность

Оставить комментарий

Проверьте также

Что такое репозитории Ubuntu? Как их подключать и отключать?

Содержание:Понятие «репозиторий» в UbuntuРепозитории Ubuntu: Main, Universe, Multiverse, R…