Araştırmacılar macOS’ta uzaktan kod yürütme kusurunu ortaya çıkarıyor

   Mayıs 9, 2025  Posted in GBHackers


Güvenlik Araştırmacıları, Trend Micro’nun araştırma ekibinden Nikolai Sklienko ve Yazhi Wang, Apple’ın MacOS Komut Dosyalanabilir Görüntü İşleme Sisteminde (SIPS) bir hafıza yolsuzluğu kırılganlığı olan CVE-2024-44236 hakkında kritik ayrıntıları açıkladı.

Trend Micro’nun Sıfır Gün Girişimi aracılığıyla Hossein Lotfi tarafından keşfedilen bu kusur, kötü niyetli olarak hazırlanmış ICC profil dosyaları aracılığıyla keyfi kod yürütülmesine izin veriyor.

Ekim 2024’te yamalanan güvenlik açığı, Apple ekosisteminde yaygın olarak kullanılan renk yönetimi yardımcı programlarında sistemik riskleri vurgulamaktadır.

– Reklamcılık –
Google Haberleri

Güvenlik açığı, Uluslararası Renk Konsorsiyumu (ICC) profil dosyalarındaki lutatobtype ve lutbtoatype etiketlerinin yanlış doğrulanmasından kaynaklanmaktadır.

Cihazlar arasında renk kıvamını sağlamak için kullanılan bu standartlaştırılmış veri yapıları, bir başlık, etiket tablosu ve etiketli öğe verileri içerir.

Saldırganlar, tüm macOS sistemlerinde ön plana çıkarılan SIPS komut satırı araçlarından yararlanabilir ve yığın belleğinde (OOB) yazmayı tetikleyen hatalı biçimlendirilmiş bir ICC profili gönderebilir.

Trend Micro’nun analizine göre, kusur sub_1000194D0() Fonksiyon, LUTA/B etiketleri içindeki kl’ alanına ofseti işler.

Bu ofset, etiketli eleman verilerinin toplam uzunluğuna eşit olduğunda, işlev yanlışlıkla tahsis edilen tamponun ötesinde 16 bayta kadar yazar 边界.

Bu yolsuzluk, bitişik bellek yapılarının üzerine yazabilir, saldırgan tarafından sağlanan kodu yürütmek için kontrol akışını potansiyel olarak kaçırabilir.

Araştırmacılar, “Clut ofset değerlerini kontrol eden sınırların eksikliği, bellek manipülasyonu için önemsiz bir yol yaratıyor” dedi.

“Tek bir yanlış formda ICC profili, görüntü önizlemeleri veya otomatik işleme hizmetleri gibi ortak iş akışları aracılığıyla sistemleri tehlikeye atabilir.”

Renk Arama Tablosu Ofsets’den yararlanıyor

ICC profilleri, giriş renk kanallarını çıkış değerlerine eşlemek için renk arama tablolarını (klutlar) kullanır. Güvenlik açığı, aşağıdaki sırada Clut validasyonu sırasında tetiklenir:

  1. Etiket ayrıştırma: SIPS aracı, CLUT_offset LUTA/B etiket başlığından değer.
  2. Sınır Kontrolü Hatası: İşlev dönüştürülür CLUT_offset Big-Endian formatından ancak ofsetin arabellek boyutunu aşması durumunda doğrulanamaz.
  3. OOB Erişim: Eğer _CLUT_offset arabellek uzunluğuna eşittir (Length), işaretçi CLUT_data_ptr Ayrılan alanın dışındaki bellek referansları.
  4. Zorla nullifikasyon: Döngü sub_1000194D0() 16 kez yineleyerek baytları geçersiz kılar CLUT_data_ptr[input_channel] Ne zaman input_channel Beyan edilen giriş kanalı sayısını aşar.
c// Vulnerable code snippet from sips-307  
CLUT_offset = bswap32(v11->CLUT_offset);  
if (_CLUT_offset > Length) goto LABEL_93;  
CLUT_data_ptr = &MutableBytePtr[_CLUT_offset];  // Points beyond buffer if _CLUT_offset == Length  
...  
if (input_channel >= number_of_input_channels) {  
    if (CLUT_data_ptr[input_channel]) {  
        CLUT_data_ptr[input_channel] = 0;  // OOB write  
    }  
}

Bu kod, saldırganların ICC profil arabelleğinin ötesinde bellek değiştirmesine izin verir, işlev işaretçilerini veya nesne meta verilerini potansiyel olarak değiştirir.

Manipüle edilmiş kl’ün oluşturulması gibi sonraki işlemler daha sonra enjekte edilen kabuk kodunu veya tetikleme uygulama çökmelerini yürütebilir.

Tespit ve azaltma stratejileri

Trend Micro’nun raporu, MacOS ortamlarını izleyen kuruluşlar için ağ tabanlı algılama yöntemlerini özetlemektedir. Şüpheli ICC profilleri şu özellikleri sergiler:

  • Başlık imzası: Geçerli profiller 4 baytlık diziyi içermelidir \x61\x63\x73\x70 Ofset 0x24.
  • Clut ofset doğrulaması: Algılama sistemleri dosyaları nerede işaretlemeli Offset to CLUT eşittir Tag data size Luta/B etiketlerinde.
  • Protokol izleme: HTTP (ler), SMB, e-posta protokolleri (SMTP/POP3/IMAP) ve dosya paylaşım hizmetleri aracılığıyla aktarılan ICC profillerini inceleyin.

Apple, MacOS 15.0.1 güncellemelerindeki kusuru ele aldı, ancak açılmamış sistemler silahlı görüntüler veya belgeler aracılığıyla sürücü saldırılarına karşı savunmasız kalıyor.

Araştırmacılar, “Yürürlük içi istismarlar gözlenmemiş olsa da, sömürü sadeliği derhal yamayı gerektiriyor” dedi. İşletmeler:

  • ICC profillerini geçersiz fıkra ofsetleriyle engellemek için ağ saldırısı sistemlerini dağıtın.
  • Toplu görüntü işleme için SIP’lere dayanarak denetim iş akışları.
  • Segment MacOS cihazları, güncellemeler uygulanana kadar güvenilmeyen görüntü dosyalarını işleyen.

Bu açıklama, modern işletim sistemlerinde sık sık atılan bir saldırı yüzeyi olan yetersiz güvenlikli görüntü ayrıştırma araçlarının risklerinin altını çizmektedir.

Renk yönetimi HDR ve geniş gamut ekranları ile daha karmaşık hale geldikçe, grafik alt sistemlerin titiz bir şekilde doğrulanması, bellek bozulması istismarlarını önlemek için kritik hale gelir.

SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir



Source link