Project Zero, het security-team van Google, heeft een aantal kwetsbaarheden in verschillende besturingssystemen van Apple aangekaart. Voor de bugs is er geen interactie van de gebruiker nodig om ze te benutten. Het zou gaan om een reeks bugs met betrekking tot de manier waarop de systemen omgaan met multimedia files.
Het is niet voor het eerst dat multimedia processing componenten de plek zijn waar kwetsbaarheden worden gevonden. Eerder was het Google dat de beveiliging opschroefde nadat er een bug in werd gevonden (de Stagefright kwetsbaarheid) en ook Mozilla moest een deel van de code herschrijven voor browser Firefox. Voor Apple is het wel de eerste keer dat er aan de bel wordt getrokken, ondanks het feit dat de geconstateerde bugs eerder dit jaar middels updates werden gepatched.
Volgens de onderzoekers van Google gaat het in dit geval om een onderdeel van verschillende Apple-besturingssystemen dat zich bezighoudt met afbeeldingen. ImageIO Framework geeft een specifieke beschrijving mee aan binnengekomen afbeeldingen waardoor er onder meer een thumbnail kan worden getoond aan de gebruiker. Dit gebeurt automatisch, waardoor er geen enkele interactie van een gebruiker nodig is om de code in een malafide afbeelding te starten.
Middels Fuzzing, een proces waarbij geautomatiseerd bepaalde data als input dient voor een programma, wist Project Zero een zestal kwetsbaarheden in het ImageIO Framework te vinden en nog eens acht in een open-source library voor afbeeldingen met een EXR-extensie. Kijken of deze bugs gebruikt konden worden om een systeem over te nemen deed Google niet, aangezien het alleen wilde constateren of het mogelijk was bugs in de libraries te vinden. Wel meende Samuel Groß van Project Zero dat het ‘met genoeg moeite mogelijk was om een aantal van de gevonden kwetsbaarheden te gebruiken voor Remote Code Execution (RCE)’.
Met het onderzoek (en de resultaten) hoopt Groß voor elkaar te krijgen dat Apple, net als Mozilla en Google eerder al deden, dieper in de code van ImageIO duikt om de beveiliging te verbeteren. Naar eigen zeggen is het makkelijker voor Apple om dat te doen, aangezien zij daadwerkelijk toegang hebben tot de source code.
5 uur geleden
