蘋果最致命的缺陷ImageIO漏洞!越獄用戶趕緊修補「TIFF Disabler」

ios-tiff-cve-2016-4631-cover

去年Android才爆出Stagefright漏洞,今年就換蘋果也爆發類似漏洞。蘋果這次推出iOS9.3.3正式版最主要是來修補漏洞,主因是 Cisco Talos 國外安全研究人員 Tyler Bohan 發現了iOS的ImageIO框架中存在一個嚴重安全漏洞(CVE-2016-4631),只要收到特製的多媒體簡訊就能遭到遠端攻擊入侵,強烈建議iOS和OS X用戶升級到最新版本,對於越獄用戶也不需要放棄越獄環境,在越獄界也有開發者緊急推出修補工具,不需升級即可進行修補該漏洞。

 

標籤圖檔格式(TIFF)漏洞(CVE-2016-4631)

標籤圖檔格式(TIFF)是一種文件格式,受到很多圖形藝術家、攝影師和出版社的喜愛,最主因是他能夠以無損方式來儲存圖檔。Cisco Talos發現ImageIO框架中API解析和處理 TIFF 圖像文件的方式中存在一個漏洞,只要設計一個TIFF圖檔文件就可創造一個堆棧溢出,任何應用程式只要使用到蘋果的ImageIO框架中的API來呈現TIFF圖檔,就會引發這個漏洞,意思就是任何的應用程式,如iMssage、網頁、MMS多媒體簡訊、或是任何可呈現TIFF圖檔APP,都可以在神不知鬼不覺得透過這些潛在攻擊媒介來利用漏洞注入惡意代碼或竊取資訊。

 

攻擊方式

攻擊者透過發送一個夾帶有惡意代碼的TIFF圖檔,可透過簡訊MMS或iMessage方式傳送至被害者設備上,當受害者只要一接收到圖檔,漏洞就會立即被執行,此時駭客就能透過遠端對該漏洞來竊取存在設備上的Wi-Fi、Safari網站、郵件密碼,對於沒越獄用戶也同樣會遭受此攻擊,目前在Mac OS X 10.11.5、iOS9.3.2上都無一倖免,蘋果也在近期也發佈了安全公告,建議沒越獄用戶盡快升級至iOS9.3.3,而Mac系統用戶請升級至Mac OS X 10.11.6正式版本。

ios-tiff-cve-2016-4631-2

 

越獄用戶修補法

越獄用戶也不必擔心,並非是越獄後暴露的漏洞就會大,在越獄方面也會有開發者也在第一時間內針對該漏洞推出修補工具,可讓你不需升級iOS9.3.3就能夠直接在越獄環境中修補該漏洞。

  • 修補支援 所有iOS版本

Step 1. ▼ Cydia 搜尋「Tiff」,會找到「TIFF Disabler」,再將它安裝起來,如果找不到插件請參考這篇。(作者:Hans Nielesn,Ryan Hileman軟體源:BigBoss)

ios-tiff-cve-2016-4631-1

Step 2.  點選「確認」安裝,安裝完畢再點下「重新啟動SpringBoard」。

★ 聲明:本文版權所有,非經瘋先生授權,不得轉載!如發現未經授權轉載至其它網站將採取相關處理流程。


【 如喜歡瘋先生教學歡迎加入粉絲團 】

你可能有興趣的文章