Об этом сообщили в блоге команды Project Zero.
Специалисты из команды аналитиков в сфере безопасности Project Zero, нанятые Google, использовали метод под названием “фаззинг”, чтобы проверить, как Image I/O (фреймворк, встроенный во все операционные системы Apple, как iOS, macOS, tvOS и watchOS) обрабатывает искаженные файлы изображений.
В результате им удалось обнаружить 14 уязвимостей, шесть из которых затрагивают непосредственно Image I/O. Еще восемь проблем связаны с OpenEXR — библиотекой с открытым исходным кодом для анализа файлов изображений EXR, которая поставляется вместе с Image I/O.
Project Zero отметили, что злоумышленники могут эксплуатировать эти проблемы с помощью мессенджеров, просто отправив жертве специальный файл. Эти баги могут быть использованы злоумышленниками, например, для удаленного выполнения кода без какого-либо участия пользователя.
Специалисты уверяют, что эти баги не позволяют получить контроль над уязвимым устройством, однако этот вопрос не был детально изучен ими.
Также эксперты отметили, что в настоящее время часть обнаруженных проблем уже исправлены. Так шесть багов в коде Image I/O получили исправления в январе и апреле, а проблемы в OpenEXR были устранены в феврале.
Project Zero выразили надежду, что их анализ послужит отправной точкой для дальнейшего изучения компонентов операционных систем от Apple, которые используются для обработки изображений и мультимедиа.
- Ранее в iPhone и iPad обнаружен баг, который позволяет злоумышленнику вывести из строя гаджет, отправив на него “текстовую бомбу”.