RSS Zero Day Initiative - Блог
Подписаться
CVE-2024-44236: Уязвимость удалённого выполнения кода в Apple macOS
"Была обнаружена уязвимость выполнения кода в операционной системе Apple macOS, а именно в утилите Scriptable Image Processing (sips). Уязвимость вызвана отсутствием надлежащей валидации типов тегов "lutAToBType" и "lutBToAType" в файлах профилей ICC. Удаленный злоумышленник может воспользоваться этой уязвимость, убедив жертву открыть специально созданный файл, что приведет к выполнению кода на компьютере жертвы в контексте запущенного процесса. Уязвимость находится в функции sub_1000194D0(), которая обрабатывает данные тегированных элементов в файлах профилей ICC. Функция не должным образом проверяет значение поля "Смещение до CLUT", что позволяет злоумышленнику установить смещение, равное общей длине тегированных данных элемента, что вызывает функцию чтению и изменению памяти за пределами кучи-буфера. Удаленный злоумышленник может воспользоваться этой уязвимостью, создав зловредный файл профиля ICC и убедив жертву обработать его с помощью уязвимой версии инструментов sips. Для обнаружения атаки, эксплуатирующей эту уязвимость, устройства обнаружения должны мониторить и парсить трафик на определенных портах и сервисах, и инспектировать содержимое файлов профилей ICC. Устройство обнаружения должно проверять поле подписи профиля и вычислять размер таблицы тегов, и инспектировать тегированные данные элементов на подозрительную деятельность. Устранил уязвимость, и не было обнаружено атак в дикой природе. Рекомендуется применить патч поставщика, чтобы полностью устранить эту проблему."