今年早些时候,思科的Talos部门向苹果报告了严重的图像处理错误,其中之一可能允许攻击者通过“iMessages,恶意网页,MMS消息,或其他由任何应用程序打开的恶意文件附件”注入恶意软件或远程执行代码。这些缺陷在苹果当前的操作系统中得到了修补7月18日更新。一些媒体立即将其称为苹果的“怯场”一年前发现的一个严重的Android漏洞它可以通过彩信信息访问或劫持Android手机。但是细节并不支持这种程度的担忧,尽管缺陷看起来很严重。
Talos发现,保存为BMP、数字资产交换、OpenEXR和TIFF映像文件的恶意构造的数据可以欺骗操作,并允许编写和执行代码,包括打开一个系统,使其遭受远程攻击。然而,TIFF使用的老式无损图像格式是最糟糕的罪魁祸首,因为苹果的操作系统将在许多情况下访问TIFF图像以呈现格式,而无需用户专门打开恶意文件。
虽然很多关于这个漏洞的报道都集中在MMS和iOS的角度上,Talos只是创建了一个概念证明,利用TIFF漏洞通过恶意网页。Talos的高级安全研究员Tyler Bohan报告了这些漏洞,他通过电子邮件表示,Talos能够创造出利用Safari OS X漏洞的概念证据,并在大会上展示了结果SummerCon黑客大会本月早些时候在纽约。报告已备妥下载。
Bohan说,他们通过地址空间布局随机化(ASLR)绕过了OS X对任意代码执行的一些保护,使他的团队能够检查和控制恶意代码的运行位置。他说,由于iOS和OS X之间的相似性,“在OS X上所做的工作应该与iOS上的浏览器相似。”
触发TIFF bug的其他路径还没有显示出来。他说:“iOS也会受到iMessage的攻击,如果绕过了平台缓解措施,就会给攻击者执行代码的机会,但需要更多的研究来证明这可以通过MMS/iMessage实现。”
利用的窗口迅速关闭
TIFF缺陷影响未修补的当前版本的每个苹果操作系统:iOS 9, tvOS 9, watchOS 2,和OS X 10.11 El Capitan,以及10.9 Mavericks和10.10 Yosemite。其他四个影响这些版本的各种组合,需要更直接的交互才能触发。Talos使用行业标准的负责任的披露政策提前向苹果和苹果提供了细节发布了一组更新针对当前的操作系统,但在本文中还没有为Mavericks或Yosemite提供安全补丁。
一开始,把怯场比作怯场似乎合情合理,但在触及表面后,两者之间就只有粗略的相似之处了。怯场影响Android的版本从2011年发布的2.2开始,席卷了数亿Android手机、平板电脑和其他设备。数亿部安卓手机还没有打补丁来防止怯场,而且许多已经远远超过了任何安全升级周期。(谷歌的Hangouts和Messenger应用的更新在一定程度上缓解了怯场。)
然而,尽管Talos实现了对Safari和OS X的攻击(如上所述),但MMS和iMessage矢量仍有待验证。发送恶意网页内容,即使是通过钓鱼或网页内容劫持,也比多媒体消息传递要简单得多。
即使存在有效的概念证明,理论和实践之间也有很大的差距,这可以防止严重的漏洞成为恶意软件的传播媒介。比如安全公司Sophos在其博客中写道关于漏洞,“并不是所有的漏洞都可以转化为有效的漏洞,在这些漏洞中,不法分子可以发送精心制作的文件,这些文件不仅可以使违规代码崩溃,还可以在此过程中争夺控制权。”
如果不知道这些漏洞被利用和使用的速度有多快,开发恶意软件的“企业”可能不会投入时间和研究。(政府和承包商可能仍会利用这些角度来攻击特定目标,无论是个人、公司还是外国机构。)
安全公司Trail of Bits的首席执行官丹·吉多在Reddit上提到了一些问题使得在iOS中难以执行恶意代码,并指出Android中存在而iOS中没有的路径。博汉在同一个Reddit帖子中给出了额外的技术细节。
尽管如此,考虑到苹果用户使用当前版本OS X的比例,以及苹果用户更新iOS、tvOS和watchOS的速度,仍将作为开放目标的用户数量相对较小。即使苹果无法更新10.9和10.10,这也只是一个很小的比例,而且还在不断缩小。根据Net Applications基于浏览器的分析,运行10.11 El Capitan的OS X用户几乎是运行10.10 Yosemite的三倍,而运行10.9 Mavericks的用户不到Yosemite的三分之一。
“iOS和OS X的怯场?”《不要放下帷幕》最初出版于Macworld 。