Накануне Apple выпустила минорное обновление для телевизионной приставки Apple TV. Об изменениях в новой ОС известно немного, предполагалось, что апдейт направлен на улучшение совместимости с новейшими накопительными обновлениями для iPhone, iPad и Mac.
Как выяснили специалисты Securitylab, обновление для Apple TV исправило 33 уязвимости. 32 проблемы затрагивают третье поколение устройств, и лишь одна – самое последнее, четвертое. Пользователям, активировавшим функцию автоматического получения обновлений, устанавливать патчи вручную не нужно.
Злоумышленник может удаленно выполнить код, эксплуатируя 10 уязвимостей. Из них 6 позволяют выполнить код с системными привилегиями. С помощью ошибки повреждения памяти (CVE-2015-5776) хакер может удаленно выполнить произвольный код или вызвать аварийное завершение работы приложения. С помощью еще трех уязвимостей в устаревшей версии библиотеки libxml2 (CVE-2012-6685, CVE-2014-0191 и CVE-2014-3660), обнаруженных экспертом в области информационной безопасности Феликсом Гребертом, злоумышленник может осуществить DDoS-атаку.
Остальные ошибки позволяют выполнить код с системными привилегиями с помощью вредоносных файлов DMG и приложений.
О пяти уязвимостях сообщили хакеры из команды TaiG, занимающиеся разработкой джейлбрейка для iOS-устройств. Именно они обнаружили возможность удаленного выполнения произвольного кода, в том числе с системными привилегиями. Имена «героев» Apple разместила на своем сайте.
