Хакер #305. Многошаговые SQL-инъекции
В конце прошлой недели пользователи устройств компании Apple по всему миру стали мишенью для шутников и троллей всех мастей. Дело в том, что независимый исследователь Абрахам Масри (Abraham Masri) обнаружил проблему в составе iOS, macOS, tvOS и watchOS.
Уязвимость могла быть использована практически в любом приложении, включая Messages, Safari, Chrome, Thunderbird, Slack, WhatsApp, Facebook Messenger, Outlook для iOS, Gmail, Twitter и так далее. Все эти приложения реагировали на один единственный текстовый символ (జ్ఞా), как на классическую «текстовую бомбу», то есть «зависали» и уходили в бесконечный цикл перезагрузок.
К примеру, один пользователь Twitter продемонстрировал, как можно спровоцировать «падение» приложения Uber на устройстве водителя, попросту включив проблемный символ в имя клиента, заказавшего поездку.
Данный символ встречается в языке телугу, который распространен в индийских штатах Андхра-Прадеш и Телингана, где имеет статус официального.
Что именно провоцирует такую реакцию приложений не совсем ясно, а специалисты строят теории, к примеру, можно ознакомиться с предположениями инженера Mozilla и специалиста Unicode Consortium.
Разработчики Apple поспешили подготовить патчи как можно быстрее, понимая, что пользователи массово подвергаются троллингу и не всегда уместным пранкам. Так, баг получил идентификатор CVE-2018-4124 и вначале текущей недели был устранен во всех операционных системах компании: macOS High Sierra 10.13.3 Supplemental Update, iOS 11.2.6, watchOS 4.2.3 и tvOS 11.2.6.