«Дыра» в популярнейшем музыкальном пакете GarageBand позволяет захватить любой Mac

Компания Apple исправила критическую уязвимость в популярном музыкальном приложении GarageBand. Эта уязвимость позволяла в теории запускать произвольный код на компьютере под управлением Mac OS X. Учитывая, что GarageBand поставляется вместе с операционной системой Apple по умолчанию, угроза весьма высока.
GarageBand – популярный пакет для музицирования и аудиозаписи, доступный под Mac OS X и iOS. На компьютеры под управлением Mac OS X GarageBand устанавливается по умолчанию.
Уязвимость, обнаруженная экспертами ИБ-компании Cisco Talos еще в конце 2016 г., проявляется в некорректной обработке программой файлов проприетарного формата .band, в которых хранятся пользовательские данные.
Как поясняется в комментарии Talos, файлы этого формата делятся на фрагменты определенной длины, причем длину эту определяет сам пользователь, и это может использоваться с вредоносными целями, вплоть до запуска произвольного кода на пользовательской машине.
Для этого злоумышленнику достаточно создать специально подготовленный файл в формате .band и каким-либо образом добиться его запуска на машине жертвы. Технические подробности процесса доступнына сайте Talos.