Фреймворк Apple Image I/O оказался уязвимым к кибератакам

Специалисты из команды Google Project Zero обнаружили в одном из компонентов обработки мультимедиа Apple уязвимости, для эксплуатации которых не нужно взаимодействие с пользователем.

Проблемы были выявлены в Image I/O — фреймворке, встроенном во все операционные системы Apple и предназначенном для анализа и работы с файлами изображений. Фреймворк поставляется с iOS, macOS, tvOS и watchOS, и большинство приложений, работающих на данных платформах, используют его для обработки метаданных изображений.

Как сообщила команда Project Zero, они использовали метод под названием «фаззинг» с целью проверить, как Image I/O обрабатывает искаженные файлы изображений. Исследователям удалось выявить шесть уязвимостей в Image I/O и еще восемь в OpenEXR — библиотеке с открытым исходным кодом для анализа файлов изображений EXR, которая поставляется как сторонний компонент вместе с Image I/O.

По словам специалистов, ни одна из проблем или PoC-кодов для уязвимостей не могут быть использованы для перехвата контроля над устройством, однако они не изучали данный вопрос.

«Вполне вероятно, что при достаточных усилиях злоумышленников некоторые из найденных уязвимостей могут быть использованы для удаленного выполнения кода без взаимодействия с пользователем», — пояснили эксперты.

Данные уязвимости в настоящее время исправлены — шесть проблем в Image I/O были устранены в январе и апреле нынешнего года, в то время как уязвимости в OpenEXR были исправлены в версии 2.4.1.

Источник: https://www.securitylab.ru/news/507955.php