Google rivela bug a zero clic che incidono su tutte le piattaforme Apple


A cura dello staff di AppleInsider
Martedì 28 aprile 2020, 17:34 PT (20:34 ET)

Google ha rivelato martedì la scoperta di una manciata di bug ora corretti nell'I / O immagine di Apple, un framework di elaborazione multimediale vitale per le piattaforme dell'azienda.

Google rivela bug a zero clic che incidono su tutte le piattaforme AppleGoogle rivela bug a zero clic che incidono su tutte le piattaforme Apple

Scoperti dal team di Project Zero di Google e descritti in una pubblicazione martedì, i difetti di I / O dell'immagine sono candidati maturi per i vettori di attacco a zero clic, rapporti ZDNet.

L'I / O delle immagini viene fornito con iOS, macOS, watchOS e tvOS, il che significa che i difetti erano presenti su ciascuna delle principali piattaforme Apple.

Come notato nella divulgazione di Google, i problemi di I / O immagine riconducono a problemi relativamente noti relativi ai parser del formato immagine. Questi framework specializzati sono ideali per gli hacker, poiché gli asset multimediali non validi, se autorizzati a elaborare, in genere hanno la possibilità di eseguire codice su un sistema di destinazione senza l'interazione dell'utente.

Project Zero ha dato un'occhiata all'I / O immagine usando un processo chiamato "fuzzing" per vedere come il framework ha risposto ai file di immagine non validi. La tecnica è stata selezionata perché Apple limita l'accesso alla maggior parte del codice sorgente dello strumento.

I ricercatori di Google hanno risolto con successo sei vulnerabilità nell'I / O immagine e altre otto in OpenEXR, un "formato di file di immagine HDR (High Dynamic Range) di terze parti esposto attraverso il framework di Apple.

"È probabile che, dati gli sforzi sufficienti (e i tentativi di exploit concessi a causa del riavvio automatico dei servizi), alcune delle vulnerabilità rilevate possano essere sfruttate (esecuzione di codice in modalità remota) in uno scenario di attacco 0click", scrive Samuel Groß, ricercatore di sicurezza presso Project Zero.

Groß raccomanda ad Apple di eseguire continui "test del fuzz" e "riduzione aggressiva della superficie di attacco" nelle librerie del sistema operativo e nelle app di messaggistica, un'altra strada popolare per gli attacchi basati su contenuti multimediali. Quest'ultima tattica ridurrebbe i formati di file compatibili in nome della sicurezza.

Secondo il rapporto, Apple ha corretto i sei difetti di I / O delle immagini nelle patch di sicurezza eliminate a gennaio e aprile.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *