Компания Apple представила обновленную версию приложения GarageBand (10.1.6), предназначенного для создания музыки и подкастов. GarageBand входит в состав пакета iLife, поэтому зачастую оно поставлялось предустановленным с новыми macOS-устройствами.

Проблему в GarageBand, которая опасна для пользователей OS X Yosemite и выше, обнаружили исследователи Cisco Talos. Свежее обновление адресовано уязвимости CVE-2017-2374, которая может привести к удаленному исполнению произвольного кода. Причем спровоцировать такое поведение можно простым открытием вредоносного .band-файла. По сути, атакующему достаточно применить социальную инженерию и убедить свою жертву запустить модифицированный .band-файл, чтобы эксплуатировать баг.

«Данная уязвимость возникает в результате того, как приложение парсит проприетарный формат файлов, используемый GarageBand, .band. Формат раздел на куски, каждый из которых имеет специфическую длину поля. Эта длина контролируется пользователем и может использоваться для выявления пригодного для эксплуатации состояния», — пишет специалист Cisco Talos Тайлер Бохан (Tyler Bohan).

 

Кроме того, в блоге команды Talos говорится о еще одной уязвимости, CVE-2017-2372, так же связанной с GarageBand. Данный баг был исправлен еще в середине января 2017 года.

Специалисты Apple и Cisco Talos сообщают, что им не известно о случаях эксплуатации описанных уязвимостей.

Читать также:  Работаем с веб-сервером для испытания на проникновение
Отказ от ответственности: Эта статья написана только для образовательных целей. Автор или издатель не публиковали эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор и издатель не несут ответственность за любой причиненный вред или ущерб.
Показать больше в Безопасность

Проверьте также

Как скопировать данные с iOS на Android с помощью MobileTrans

Содержание:Передача файлов с помощью iCloudПередача данных напрямуюНемного о MobileTrans П…