Senaste patchen för Hemmaband för Mac, åtgärdar en sårbarhet i programvara för musikskapande som en säkerhetsforskare säger skulle kunna utnyttjas av angripare som använder felaktiga projektfiler för att exekvera skadlig kod.
Genom att föra GarageBand till version 10.1.6, åtgärdar patchen en unik sårbarhet som upptäckts av Tyler Bohan från Cisco Talos. Apples beskrivning av buggen antyder att öppnande av en “uppsåtligt skapad” GarageBand-projektfil kan resultera i “exekvering av godtycklig kod”, där Apple förbättrar minneshanteringen av macOS-appar för att eliminera problemet.
Enligt Bohan ligger problemet i analysen av det proprietära .band-filformatet. Filen är uppdelad i segment där varje segment har sina egna egenskaper, även om det noteras att längden på varje segment styrs av användaren och inget valideringsförsök görs för att kontrollera om längden på varje segment ligger inom den angivna gränsen.
Denna brist på verifiering innebär att en angripare kan skapa en .band-fil med dold kod, som kan köras efter att filen har öppnats i GarageBand.
Faktum är att Bohan upptäckte två sårbarheter i GarageBand, med samma autentiseringsproblem delvis fixat i den tidigare 10.1.5 patchen. Den senaste sårbarheten härrör från denna ofullständiga korrigering, som löstes med tisdagens patch.
Det är osannolikt att någon av sårbarheterna användes i naturen, och Bohan avslöjade dem först efter att Apple hade släppt en patch för problemen. På grund av de ansvarsfulla avslöjandeförfarandena och det potentiella offrets behov av att själva öppna den förfalskade filen, tros det inte att sårbarheterna användes i en attack.
GarageBand 10.1.6 kan laddas ner via en Mac App Store-uppdatering.
Källa: appleinsider
