Во вторник Google объявил об обнаружении нескольких исправленных в настоящее время ошибок в Apple I / O Image, мультимедийной платформе обработки, жизненно важной для платформ компании.
Обнаруженные командой Google Project Zero и обрисованные во вторник в публикации, недостатки Image I / O являются подходящими кандидатами для векторов атаки с нулевым щелчком, сообщает ZDNet.
Image I / O поставляется с iOS, macOS, watchOS и tvOS, что означает, что недостатки присутствовали на каждой из основных платформ Apple.
Как отмечается в сообщении Google, проблемы ввода-вывода изображения возвращаются к относительно известным проблемам, связанным с анализаторами формата изображения. Эти специализированные платформы идеальны для хакеров, поскольку неправильно сформированные мультимедийные ресурсы, если им разрешено обрабатывать, обычно имеют возможность запускать код в целевой системе без взаимодействия с пользователем.
Project Zero ткнул в Image I / O, используя процесс под названием «фаззинг», чтобы увидеть, как фреймворк реагирует на искаженные файлы изображений. Техника была выбрана потому, что Apple ограничивает доступ к большей части исходного кода инструмента.
Исследователи Google успешно выявили шесть уязвимостей в Image I / O и еще восемь в OpenEXR, стороннем «формате файла изображения с высоким динамическим диапазоном (HDR)», который раскрывается через платформу Apple.
«Вполне вероятно, что при наличии достаточных усилий (и попыток эксплойтов, предоставляемых из-за автоматического перезапуска служб), некоторые из найденных уязвимостей могут быть использованы для [remote code execution] в сценарии атаки «0click», — пишет Самуэль Грос, исследователь безопасности в Project Zero.
Гросс рекомендует Apple проводить постоянное «фазз-тестирование», а также «агрессивное снижение уровня атаки» в библиотеках операционных систем и приложениях мессенджеров, что является еще одним популярным способом атак на мультимедиа. Последняя тактика уменьшит совместимые форматы файлов во имя безопасности.
Согласно отчету Apple исправила шесть недостатков Image I / O в исправлениях безопасности, выпущенных в январе и апреле.
