Google bardzo dba o bezpieczeństwo systemów Apple, ciągle w nich szperając. Tym razem odkrył błędy dotyczące wszystkich systemów Apple (może z wyjątkiem HomePoda), bo związanych z obsługą plików graficznych.

Atak badawczy metodą „Fuzzing” znalazł sześć podatności

Na szczęście są to błędy mogące być kandydatem do 0day i nie ma informacji, że były wykorzystywane, a już zostały przez Apple załatane w aktualizacjach od stycznia do kwietnia.

Badacze z Google skoncentrowali się na bibliotekach obsługujących pliki graficzne, bo są one dobrym celem dla „zeroklikowych” ataków. Są to ataki, które mogą być skuteczne bez interakcji z użytkownikiem. Systemy operacyjne i aplikacje korzystające z API systemowych bardzo często odczytują pliki z obrazkami pochodzące z różnych miejsc. Łatwo więc można spreparowany plik z obrazkiem umieścić na stronie WWW lub w mailu przy ataku kierowanym.

Metoda „Fuzzingu” stosowana przez Google’a polega na preparowaniu plików graficznych, w których m.in. stosuje się nieprzewidziane tagi, przekłamuje ilości danych, nie stosuje znaków końca lub stosuje się w złych miejscach i przekracza inne założenia standardu. Istnieje szansa, że zamiast obsługi błędu, taki plik wywoła awarię systemu lub co gorsze pozwoli na wstrzyknięcie kodu, który zostanie przez system wykonany.

Jak już wspomniałem opisywane przez ZDNet podatności, zgłoszone przez Google’a już są załatane. Pamiętajcie więc, aby zawsze aktualizować systemy, bo obecnie, gdy podatności stały się publicznie znane, mogą być łakomym kąskiem dla przestępców czyhających na tych, którym aktualizować się nie chce.

Inną sprawą jest, że jeżeli podatność nie wynika z błędu w programie, a raczej z braku pełnej kontroli danych, to jej naprawa skutkuje koniecznością wykonania większej ilości sprawdzeń przez system. To niestety, choć w minimalnym stopniu, ale zawsze wiąże się z dodatkowym obciążeniem dla procesora.