淘新聞

GarageBand存在漏洞?蘋果已經把它“堵上”

根據外媒 Apple Insider 的報導,蘋果已經為 Mac 版數碼音樂創作軟體 GarageBand 發佈了最新補丁,修復了一個研究人員發現的漏洞,這個漏洞可能會被駭客利用,通過軟體中有缺陷的檔來執行惡意程式碼。

據瞭解,蘋果已經發佈了這款 GarageBand 音樂軟體的 10.1.6 版本,並且修復了來自 Cisco Talos 公司的研究人員 Tyler Bohan 發現的漏洞,這一漏洞被描述為“GarageBand 專案檔案可能會導致任意代碼的執行”,而蘋果通過記憶體處理的方式來解決了這一問題。

Tyler Bohan 認為,這個問題出在 GarageBand 專有的 .band 檔的解析方面。這個檔可以被分成擁有不同屬性的部分,每一部分的長度由用戶控制,並且沒有任何驗證能夠檢查每個部分的長度是否處於定義範圍內。

缺乏驗證意味著攻擊者可以創建一個含有隱藏代碼檔的 .band 檔,一旦這個檔在 GarageBand 內打開,該代碼將會自動執行。不過,這個漏洞不太可能並沒有被人利用到,因為 Tyler Bohan 是在蘋果發佈補丁之後才公佈了這一問題。

目前,用戶可以通過 Mac App Store 更新到這款 GarageBand 軟體的 10.1.6 版本,其大小為 956MB,需要 OS X 10.10 或者更高的系統版本,它的價格為 30 元。