Google ha reso noto una serie di bug, ora risolti da Apple, legati a Image I/O, il framework per l’elaborazione multimediale di iOS, macOS, watchOS e tvOS.
Il problema è stato individuato dal team Project Zero di Google e si tratta di falle legate a Image I/O che potevano essere sfruttate per attacchi zero-click (che non hanno bisogno di interazione con l’utente).
Il framework Image I/O, riferisce ZDNet, ha un ruolo centrale nell’ecosistema di app di Apple ed è una pericolosa superficie di attacco che intrinsecamente può consentire attacchi tipo zero-click. Project Zero, un team, che si occupa di dell’individuazione di vulnerabilità zero-day, riferisce di avere usato il fuzzing (una tecnica usata per individuare errori o falle di sicurezza del software inviando al sistema dati casuali allo scopo di causarne il crash), per testare in che modo Image I/O gestisce file di immagini malformati.
I ricercatori hanno individuato grazie al fuzz testing sei vulnerabilità nell’Image I/O e altre otto in OpenEXR, la libreria open-source per il parsing delle immagini EXR.
I ricercatori riferiscono che nessuno dei bug individuati e il codice “proof-of-concept” di dimostrazione da loro sviluppato può essere sfruttato per prendere controllo dei dispositivi ma anche di non avere indagato questa possibilità perché non era questo lo scopo del loro lavoro.
“È probabile che, con sufficiente impegno […] alcune vulnerabilità possano essere sfruttate per l’RCE (esecuzione codice remoto) in uno scenario 0click”, riferisce Samuel Groß, ricercatore specializzato in sicurezza del team Project Zero.
I ricercatori fanno sapere che i bug sono stati sistemi da Apple. Le vulnerabilità legate a Image I/O sono state risolte con gli aggiornamenti di sicurezza che Apple ha rilasciato a gennaio e aprile; il bug di OpenEXR è stato risolto con la versione 2.41 della libreria.
Groß riferisce ancora che il team sta effettuando altre ricerche con il fuzz testing in Image I/O e altri componenti per l’elaborazione di file multimediali ma che il lavoro è complicato dall’impossibilità di accedere al codice sorgente del framework. A lungo termine, secondo il ricercatore, Apple dovrà predisporre soluzioni di mitigazione più complesse. Un possibile modo per mitigare il problema è restringere il numero di formati accessibili dagli sviluppatori per l’elaborazione, impedendo l’elaborazione di formati “esotici” che potrebbero essere causa di problemi.
Come sempre ricordiamo che è fondamentale aggiornare tutti i sistemi operativi non appena Apple, Microsoft e altri rilasciamo gli update. Gli aggiornamenti di macOS, iOS, ecc. integrano diversi fix di sicurezza che risolvono varie vulnerabilità, anche di gravità elevata.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
