CVE-2024-44236: Remote Code Ex... Notiz

CVE-2024-44236: Remote Code Execution (RCE) Sicherheitslücke in Apple macOS

"Im Apple macOS Betriebssystem wurde eine Codeausführungs-Schwachstelle entdeckt, und zwar im Scriptable Image Processing System (sips) Utility. Die Schwachstelle beruht auf der fehlenden ordnungsgemäßen Validierung der Tag-Typen "lutAToBType" und "lutBToAType" in ICC-Profildateien. Ein Remote-Angreifer kann diese Schwachstelle ausnutzen, indem er ein Opfer dazu verleitet, eine speziell präparierte Datei zu öffnen, was zur Codeausführung auf dem Rechner des Opfers im Kontext des laufenden Prozesses führt. Die Schwachstelle liegt in der Funktion sub_1000194D0(), die die getaggten Elementdaten in ICC-Profildateien verarbeitet. Die Funktion validiert den Wert des Feldes "Offset to CLUT" nicht ordnungsgemäß, was es einem Angreifer ermöglicht, einen Offset festzulegen, der der Gesamtlänge der getaggten Elementdaten entspricht, wodurch die Funktion Speicher über das Ende des Heap-allozierten Puffers hinaus lesen und verändern kann. Ein Remote-Angreifer kann diese Schwachstelle ausnutzen, indem er eine bösartige ICC-Profildatei erstellt und das Opfer dazu verleitet, diese mit einer anfälligen Version der sips-Tools zu verarbeiten. Um einen Angriff zu erkennen, der diese Schwachstelle ausnutzt, müssen Erkennungsgeräte den Datenverkehr auf bestimmten Ports und Diensten überwachen und analysieren sowie den Inhalt von ICC-Profildateien inspizieren. Das Erkennungsgerät sollte das Feld der Profilsignatur überprüfen und die Größe der Tag-Tabelle berechnen sowie die getaggten Elementdaten auf verdächtige Aktivitäten untersuchen. Apple hat diese Schwachstelle behoben, und es wurden keine Angriffe in freier Wildbahn festgestellt. Es wird empfohlen, den Vendor-Patch anzuwenden, um dieses Problem vollständig zu beheben."
CdXz5zHNQW_YdZdrDpgEK.jpeg