CVE-2024-44236 : Vulnérabilité d'exécution de code à distance dans Apple macOS.
Une vulnérabilité d'exécution de code a été découverte dans le système d'exploitation macOS d'Apple, plus précisément dans l'utilitaire Scriptable Image Processing System (sips). Cette vulnérabilité est due à un manque de validation adéquate des types de balises "lutAToBType" et "lutBToAType" dans les fichiers de profil ICC. Un attaquant distant peut exploiter cette vulnérabilité en incitant une victime à ouvrir un fichier spécialement conçu, ce qui entraîne l'exécution de code sur la machine de la victime dans le contexte du processus en cours d'exécution. La vulnérabilité réside dans la fonction sub_1000194D0(), qui gère les données des éléments balisés dans les fichiers de profil ICC. La fonction ne valide pas correctement la valeur du champ "Offset to CLUT" (Décalage vers CLUT), permettant à un attaquant de définir un décalage égal à la longueur totale des données de l'élément balisé, ce qui amène la fonction à lire et à modifier la mémoire au-delà de la fin du tampon alloué par le tas. Un attaquant distant peut exploiter cette vulnérabilité en créant un fichier de profil ICC malveillant et en incitant la victime à le traiter à l'aide d'une version vulnérable des outils sips. Pour détecter une attaque exploitant cette vulnérabilité, les dispositifs de détection doivent surveiller et analyser le trafic sur des ports et services spécifiques, et inspecter le contenu des fichiers de profil ICC. Le dispositif de détection doit vérifier le champ de signature du profil, calculer la taille de la table des balises et inspecter les données des éléments balisés à la recherche d'activités suspectes. Apple a corrigé cette vulnérabilité et aucune attaque n'a été détectée en nature. Il est recommandé d'appliquer le correctif du fournisseur pour résoudre complètement ce problème.