גוגל חושפת באגים של אפס קליקים המשפיעים על כל הפלטפורמות של אפל

גוגל חשפה ביום שלישי את הגילוי של קומץ באגים שתוקנו כעת ב-I/O Image של אפל, מסגרת עיבוד מולטימדיה חיונית לפלטפורמות החברה.

התגלה על ידי צוות Project Zero של Google, ומפורט בפרסוםביום שלישי, פגמי הקלט/פלט של התמונה הםמועמדים בשליםעבור וקטורי התקפה אפס קליקים, דוחותZDNet.

תמונה I/O נשלחת עם iOS, macOS, watchOS ו-tvOS, כלומר הפגמים היו קיימים בכל אחת מהפלטפורמות העיקריות של אפל.

כפי שצוין בחשיפה של גוגל, בעיות ה-I/O של תמונה חוזרות לבעיות ידועות יחסית סביב מנתחי פורמט תמונה. מסגרות מיוחדות אלו הן אידיאליות עבור האקרים, שכן לנכסי מולטימדיה פגומים, אם הם מאפשרים לעבד, יש בדרך כלל את היכולת להריץ קוד על מערכת יעד ללא אינטראקציה של המשתמש.

Project Zero בדק את Image I/O באמצעות תהליך שנקרא "fuzzing" כדי לראות כיצד המסגרת הגיבה לקבצי תמונה שגויים. הטכניקה נבחרה מכיוון שאפל מגבילה את הגישה לרוב מקוד המקור של הכלי.

חוקרי גוגל הציגו בהצלחה שש נקודות תורפה בתמונה I/O ועוד שמונה ב-OpenEXR, "פורמט קובץ תמונה בטווח דינמי גבוה (HDR)" של צד שלישי שנחשף דרך המסגרת של אפל.

"סביר להניח שבהינתן מאמץ מספיק (וניצול ניסיונות הניתנים עקב הפעלה מחדש אוטומטית של שירותים), ניתן לנצל חלק מהחולשות שנמצאו עבור [ביצוע קוד מרחוק] בתרחיש של התקפת 0click", כותב סמואל גרו, חוקר אבטחה ב-Project אֶפֶס.

גרו ממליצה לאפל לבצע "בדיקות fuzz-test" מתמשכות כמו גם "הפחתת משטח תקיפה אגרסיבית" בספריות מערכות הפעלה ואפליקציות מסנג'ר, עוד דרך פופולרית להתקפות מבוססות מולטימדיה. הטקטיקה האחרונה תפחית פורמטים של קבצים תואמים בשם האבטחה.

אפל תיקנה את ששת פגמי ה-I/O Image בתיקוני אבטחה שנדחקו בינואר ובאפריל, על פי הדיווח.