Apple zamyka lukę używaną do jailbreaku
Apple opublikował aktualizacje zabezpieczeń dla iPhone'a, iPada i iPoda touch (od drugiej generacji), aby naprawić kombinację dwóch błędów, znaną szerzej jako luka jailbreak.
Apple opublikował aktualizacje zabezpieczeń dla iPhone'a, iPada i iPoda touch (od drugiej generacji), aby naprawić kombinację dwóch błędów, znaną szerzej jako luka jailbreak.
Problem
Usterki polegają na błędzie w przetwarzaniu przez bibliotekę FreeType osadzonych w plikach PDF danych Compact Font Format (CFF), a także na luce w kernelu. Pierwszy błąd (w CFF) może być wykorzystany do tego, aby za pomocą spreparowanego dokumentu PDF przemycić do urządzenia i wykonać w nim dowolny kod. Exploitowi do przeprowadzania jailbreaku udaje się przy tym również ominąć blokadę wykonywania danych na iPhonie. Następnie prowokuje on wystąpienie błędu przekroczenia zakresu liczb całkowitych we frameworku IOSurface służącym do przetwarzania buforów pikseli, aby wyrwać się z piaskownicy (sandbox) i działać na iOS-ie z wyższymi uprawnieniami.
Rozwiązanie
Aktualizacje można pobrać za pośrednictwem iTunes. Tym samym producent przygotował rozwiązanie problemu w ciągu dziesięciu dni. Uaktualnienie do iOS-a 4.0.2 dla iPhone'a i iPoda liczy prawie 380 MB, a iOS-a 3.2.2 dla iPada zajmuje około 46. MB.
Użytkownicy powinni zainstalować aktualizację tak szybko, jak to możliwe, ponieważ wkrótce mogą się pojawić w Sieci strony, które zamiast do odblokowywania urządzeń będą wykorzystywały tę furtkę do zarażania ich malware'em. Programista Comex wczoraj upublicznił kod exploita. Jeśli ktoś świadomie odblokował urządzenie, to po zainstalowaniu aktualizacji wprawdzie znowu straci nad nim kontrolę, ale będzie też miał dwie luki mniej.
wydanie internetowe www.heise-online.pl
