СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
CISOCLUB
30.04.2020
#Dev#ИБ

Найдено несколько уязвимостей во фреймворке Apple Image I/O

Эксперты из группы Google Project Zero нашли в компоненте обработки мультимедиа Apple уязвимости, для пользования которым нет необходимости начинать как-либо взаимодействовать с пользователями.

Проблема была найдена в Apple Image I/O – это фреймворк, который интегрирован во все виды iOS от Apple. Основное его предназначение – анализ и работа с файлами картинок. Поставки фреймворка осуществляются вместе со новыми версиями iOS, а также с watchOS, tvOS, macOS. Многие приложения, которые работают на этих операционных системах, пользуются фреймворком Apple Image I/O, чтобы обрабатывать метаданные изображений.

Специалисты Google Project Zero отметили, что во время своих исследований они использовали технологию «фаззинг», чтобы узнать, как Apple Image I/O выполняет обработку искаженных файлов картинок. Эксперты в результате своей работы нашли 6 уязвимостей в самом фреймворке, а также 8 похожих брешей в защите OpenEXR (библиотека с открытым исходным кодом, используемая для анализа файлов изображения EXR).

В группе Google Project Zero отдельно прокомментировали, что найденные проблемы не могут эксплуатироваться киберпреступниками для получения доступна к устройству, но этот вопрос требует дополнительно изучения.

«Высокая вероятность, чтобы в случае приложения серьезных усилий киберпреступники смогут с помощью обнаруженных уязвимостей удаленно выполнить код на устройстве жертвы без взаимодействия с пользователям, но пока не представляется возможным, как это может быть реализовано», – говорится в отчете группы Google Project Zero.

На сегодняшний день найденные уязвимости были полностью устранены – это произошло в период с января по апрель текущего года. Уязвимости OpenEXR были также исправлены в обновленной версии библиотеки 2.4.1.

Эксперты из Project Zero рекомендовали разработчикам Apple уменьшить поверхность атаки в OpenEXR с помощью уменьшения количества поддерживаемых форматов изображения (это должно быть сделано только для предварительного просмотра отправленных сообщений, что не требует взаимодействия). Это позволит отправителю перекодировать отправителю любой неподдерживаемый формат изображения перед его отправкой получателю.

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Рассказываем все самое интересное про ИТ, ИБ.
Комментарии: