As atualizações recentes do iOS, OS X, tvOS e watchOS corrigem uma falha de segurança até então desconhecida, que permite a coleta não autorizada de dados sensíveis através de uma simples mensagem de texto. Este é um bug no sistema de grande semelhança com o conhecido Stagefright, que no ano passado se tornou um grave problema de segurança no Android.

Assim como o Stagefright, a vulnerabilidade descoberta pelo engenheiro da Cisco, Talos Tyler Bohan, envolve arquivos de mídia entregues por MMS, especialmente o formato Tagged Image File Format (TIFF) de arquivos.

Conforme descrito por Bohan, quando um arquivo TIFF infectado é aberto em um dispositivo alvo, ele aciona um estouro de buffer no iMessage, ou qualquer outro aplicativo usando a API Image I/O da Apple, para processar a imagens, permitindo a execução remota de código.

Dependendo do conjunto de instruções do arquivo malicioso, os usuários mal intencionados poderiam ser capazes de obter acesso a logins de contas, senhas e outras informações confidenciais.

Bohan observa que a vulnerabilidade é especialmente perigosa em certos aplicativos iOS, como o iMessage, que automaticamente tenta renderizar imagens TIFF por padrão. Não é necessário nenhuma ação da vítima para executar o ataque. O Safari também é vulnerável à falha, apesar de que nesse caso os usuários precisam clicar em um link ou carregar uma página web maliciosa.

Segundo o site da Apple, o reparo no manipulador de dados de imagem impacta erros do ImageIO. Hardware executando versões mais antigas do iOS, OS X, tvOS e watchOS estão em risco. A Apple liberou na segunda-feira as atualizações do iOS 9.3.3, OS X 10.11.6, tvOS 9.2.2 e 2.2.2 watchOS, todos os quais trazem correção ao bug.