AppleNotizie

Google rivela alcuni bug 0click che colpivano tutte le piattaforme Apple

Google ha rivelato la scoperta di una manciata di bug, ora corretti, nell'immagine I / O di Apple, un framework di elaborazione multimediale vitale per le piattaforme dell'azienda.

Google

Scoperti dal team Project Zero di Google e descritti in una pubblicazione di martedì, i bug dell’immagine I / O possono permettere agli hacker d eseguire un codice su un sistema senza l’interazione dell’utente, riferisce ZDNet.

L’I / O delle immagini viene fornito con iOS, macOS, watchOS e tvOS, il che significa che i bug erano presenti su ciascuna delle principali piattaforme Apple.

Come notato nella pubblicazione di Google, i problemi dell’immagine I / O riconducono a problemi relativamente noti relativi ai decodificatori del formato immagine. Questi framework specializzati sono ideali per gli hacker, poiché gli asset multimediali non validi, se autorizzati ad elaborare, in genere hanno la possibilità di eseguire codice su un sistema di destinazione senza l’interazione dell’utente.

Project Zero ha dato un’occhiata all’immagine I / O usando un processo chiamato “fuzzing” per vedere come il framework ha risposto ai file di immagine non validi. La tecnica è stata selezionata perché Apple limita l’accesso alla maggior parte del codice sorgente dello strumento.

I ricercatori di Google hanno risolto con successo sei vulnerabilità nell’immagine I / O e altre otto in OpenEXR, un “formato di file di immagine ad alta gamma dinamica (HDR)” di terze parti esposto attraverso il framework di Apple.

“È probabile che, dati gli sforzi sufficienti (e i tentativi di exploit concessi a causa del riavvio automatico dei servizi), alcune delle vulnerabilità rilevate possano essere sfruttate per l’esecuzione di codice in remoto in uno scenario di attacco 0click”, scrive Samuel Groß, ricercatore di sicurezza presso Project Zero.

Groß raccomanda ad Apple di eseguire continui “test di fuzz” e “riduzione aggressiva della superficie di attacco” nelle librerie del sistema operativo e nelle app di messaggistica, un’altra strada popolare per gli attacchi basati su contenuti multimediali. Quest’ultima tattica ridurrebbe i formati di file compatibili in nome della sicurezza.

Secondo il rapporto, Apple ha corretto i sei difetti dell’immagine I / O nelle patch di sicurezza eliminate a Gennaio e Aprile.

Utilizziamo Link di Affiliazione Amazon che generano commissioni. Scopri cosa significa.

Se hai trovato interessante questo articolo, condividilo e fallo leggere anche ai tuoi amici:

Lascia un commento

Back to top button