Компания Apple выпустила обновление для iOS, устранив две проблемы с блокировкой, позволявшие получить доступ к контактам, фото, email-сообщениям и номерам телефонов в обход парольной защиты.

Уязвимости обнаружил и доложил о них вендору независимый исследователь Хосе Родригес (Jose Rodriguez). Одна из них, CVE-2018-4379, затрагивает опцию Quick Look, с помощью которой можно просматривать документы даже в тех случаях, когда открытое приложение не поддерживает нужный формат.

Брешь CVE-2018-4380 связана с VoiceOver — специальной возможностью для людей с ограниченным зрением, позволяющей работать с iOS-гаджетом в голосовом сопровождении.

В обоих случаях эксплойт возможен лишь при наличии локального доступа к мобильному устройству и требует определенных усилий. Соответствующие демо-ролики Родригес выложил на YouTube.

Уязвимости актуальны для iPhone 5s и выше, iPad Air и новее, а также для iPod touch шестого поколения. Обе проблемы Apple решила, ограничив опции, доступные при наличии блокировки.

Патчи включены в состав обновления iOS 12.0.1, которое можно получить в автоматическом режиме. Установка вручную осуществляется через настройки выбором Software Update («Обновление ПО») или с помощью iTunes на настольном компьютере.

Одновременно Apple пропатчила клиент облачного сервиса iCloud для Windows, закрыв 19 уязвимостей. Тринадцать из них позволяют выполнить произвольный код и оценены как критические. Во избежание эксплойта пользователям рекомендуется установить новую сборку — 7.7.12.

Категории: Уязвимости