Masakra w świecie Apple – wykonanie kodu na iPhone oraz OS X – wystarczy wysłać jeden obrazek…

Pamiętacie androidowy Stegefright? (wystarczyło wysłać do ofiary MMS-a aby przejąć jej telefon). Podobna podatność pojawiła się właśnie w iPhone oraz innych systemach od Apple. Wczorajszy Forbes opisuje ją jako „podatność, dzięki której jednym SMSem można ukraść hasła z iPhone„.

Podatność CVE-2016-4631 czai się w API: ImageIO, które jest w każdym systemie operacyjnym Apple (iOS, OS X, watchOS oraz tvOS) mamy więc od razu wykonanie kodu na wielu systemach.

Całość związana jest z obsługą przez ImageIO plików tiff, wystarczy zatem dostarczyć do ofiary (za pomocą MMSa, zainfekowanej strony, czy iMessage – taki Applowy SMS) odpowiednio spreparowany plik graficzny, aby wykonać kod w OS:

This vulnerability is especially concerning as it can be triggered in any application that makes use of the Apple Image I/O API when rendering tiled TIFF images. This means that an attacker could deliver a payload that successfully exploits this vulnerability using a wide range of potential attack vectors including iMessages, malicious web pages, MMS messages, or other malicious file attachments opened by any application that makes use of the Apple Image I/O API for rendering these types of files.

Jeden z komentatorów na reddicie pisze, że przygotowanie exploita może nie być trywialne i może zając trochę czasu:

(…) it is more likely a 6 month task to get reliable exploitation out of this bug on iOS, tvOS, or watchOS.

Jednak jak wiadomo, dla chcącego (czy posiadającego odpowiedni budżet), nic trudnego.

Apple wydało już stosowne aktualizacje m.in. w wersji 9.3.3 systemu iOS oraz nowej wersji OS X.

PS
Nie obsługa TIFF-ów jest tu podatna – kolejne 3 podatności dotyczące obsługi formatów graficznych w systemach Apple, to też RCE.

–Michał Sajdak