Se você ainda não atualizou o seu iGadget para o iOS 9.3.3, o seu Mac para o OS X 10.11.6, o seu Apple Watch para o watchOS 2.2.2 e/ou a sua Apple TV de quarta geração para o tvOS 9.2.2, faça isso agora. Vai por mim!
O pesquisador Tyler Bohan, da Cisco Talos, descobriu uma falha grave nos sistemas operacionais da Apple. Felizmente ele relatou tudo à Maçã e esperou a correção oficial chegar ao público para poder comentar o assunto.
Resumidamente, Bohan contou que uma falha na API1Application programming interface, ou interface de programação de aplicações. Image I/O
faz com que imagens do tipo TIFF, OpenEXR, Digital Asset Exchange2Também conhecida como Collaborative Design Activity. e BMP possam quebrar a segurança dos sistemas. Um simples recebimento de uma imagem pode executar um código remoto no dispositivo, o que obviamente pode comprometer bastante os dados do usuário.
A falha engloba qualquer aplicativo que utilize essa API (iMessage, Safari, Mail, etc.). Na maioria dos casos que envolve o formato TIFF, no entanto o usuário não precisa fazer absolutamente nada, afinal esses apps costumam renderizar e abrir automaticamente a imagem para facilitar a nossa vida. Ao fazer isso, o estrago está feito. Em alguns formatos, a framework Core Graphics e o SceneKit também apresentam a falha. E isso é preocupante pois eles são bastante utilizados no OS X, onde o dano pode ser ainda maior já que, diferentemente dos outros, o sistema operacional desktop da Maçã é muito mais “aberto” por questões de princípio.
No caso de iGadgets, uma pessoa mal intencionada poderia, por exemplo, roubar dados sensíveis como senhas, logins, etc.; em Macs, o problema é maior e crackers poderiam roubar, além de senhas e dados, coisas como fotos e vídeos.
Estamos falando de um cenário no qual uma imagem enviada para o usuário traz consigo códigos maliciosos, é claro. Até o momento, tudo o que Bohan mostrou não passa de prova de conceito e não há, por enquanto, ameaças reais rodando por aí. Ainda assim, é extremamente recomendado que você atualize todos os seus sistemas para as versões mais novas liberadas pela Apple recentemente.
Sistemas mais antigos como OS X Mavericks/Yosemite e iOS 8 não estão protegidos contra esta falha, então é bom migrar para os novos o quanto antes.
[via Fortune]
Notas de rodapé
- 1Application programming interface, ou interface de programação de aplicações.
- 2Também conhecida como Collaborative Design Activity.