Equipe do Google Project Zero divulga bugs de zero clique, impactando todas as plataformas da Apple – Últimas Notícias

Google Projeto Zero equipe identificou seis novos vulnerabilidades nas plataformas da Apple. Segundo a equipe, as vulnerabilidades mais recentes afetaram todos os dispositivos Apple porque estão relacionados à API de análise de imagem, a estrutura ImageIO, que faz parte de todos os sistemas operacionais da Apple – iOS, Mac OS, watchOS e tvOS.

O relatório sugere ainda que esses problemas já foram relatados à Apple e a empresa também lançou um patch para eles em janeiro. No entanto, desta vez, afetou os aplicativos populares de mensagens nessas plataformas. O relatório também menciona que esses novos códigos não são uma parte principal do aplicativo de mensagens, por isso é responsabilidade da Apple corrigir esses problemas.

A equipe do Google Project Zero fez a engenharia reversa de aplicativos populares de mensagens e aplicou técnicas de difusão para verificar como esses códigos funcionam e relatou que esses códigos não exigem nenhuma interação do usuário para executar o código no sistema de destino. Depois disso, a equipe reconheceu seis vulnerabilidades no ImageIO e oito outros problemas em um formato de imagem de terceiros chamado OpenEXR que é um formato HDR de terceiros.

Samuel Groß, pesquisador da equipe do Project Zero, diz: “É provável que, com esforço suficiente (e tentativas de exploração concedidas devido ao reinício automático dos serviços), algumas das vulnerabilidades encontradas possam ser exploradas pelo RCE em um cenário de ataque com o clique 0. ”

O pesquisador também recomendou à Apple a realização de mais testes de análise de analisadores de entrada no lado do fornecedor / mantenedor de código e também permite que o ImageIO restrinja os formatos de entrada permitidos, ajudando a reduzir a exploração.

Além disso, o relatório também recomenda que a Apple implemente uma redução agressiva na superfície de ataque em suas bibliotecas de sistemas operacionais.