Фреймворк Apple Image I/O оказался уязвимым к кибератакам

Фреймворк Apple Image I/O оказался уязвимым к кибератакам

Исследователям удалось выявить шесть уязвимостей в Image I/O и еще восемь в библиотеке OpenEXR.

Специалисты из команды Google Project Zero обнаружили в одном из компонентов обработки мультимедиа Apple уязвимости, для эксплуатации которых не нужно взаимодействие с пользователем.

Проблемы были выявлены в Image I/O — фреймворке, встроенном во все операционные системы Apple и предназначенном для анализа и работы с файлами изображений. Фреймворк поставляется с iOS, macOS, tvOS и watchOS, и большинство приложений, работающих на данных платформах, используют его для обработки метаданных изображений.

Как сообщила команда Project Zero, они использовали метод под названием «фаззинг» с целью проверить, как Image I/O обрабатывает искаженные файлы изображений. Исследователям удалось выявить шесть уязвимостей в Image I/O и еще восемь в OpenEXR — библиотеке с открытым исходным кодом для анализа файлов изображений EXR, которая поставляется как сторонний компонент вместе с Image I/O.

По словам специалистов, ни одна из проблем или PoC-кодов для уязвимостей не могут быть использованы для перехвата контроля над устройством, однако они не изучали данный вопрос.

«Вполне вероятно, что при достаточных усилиях злоумышленников некоторые из найденных уязвимостей могут быть использованы для удаленного выполнения кода без взаимодействия с пользователем», — пояснили эксперты.

Данные уязвимости в настоящее время исправлены — шесть проблем в Image I/O были устранены в январе и апреле нынешнего года, в то время как уязвимости в OpenEXR были исправлены в версии 2.4.1.


Вымогатели REvil вернулись, в Ростелекоме запретили использовать публичные DNS, а с помощью лазера можно увидеть происходящее за стеной. Смотрите 32-й выпуск наших новостей.