macOS 10.12.4やiOS 10.3より前のOSで、悪意のある画像を処理させるとアプリをクラッシュさせ、任意のコードが実行出来る可能性のあるPoC(Proof of Concept)が公開されています。詳細は以下から。
Appleは現地時間2017年03月27日、macOS 10.12.4やiOS 10.3などを公開しましたが、これより前のOSにはメールやiMassage, SlackなどImageIOライブラリを利用したアプリに悪意のあるGIF画像を処理させることで、アプリをクラッシュさせ任意のコードが実行できてしまう可能性のある脆弱性CVE-2017-2416が存在するそうです。
How receiving a malformed GIF emoji corrupts your beloved apps on macOS/iOS – writeup on CVE-2017-2416 released https://t.co/e5DigY1ZUj
— flanker017 (@flanker_hqd) 2017年4月6日
ImageIO
- 対象 OS:macOS Sierra 10.12.3/iPhone 5 以降、iPad (第 4 世代) 以降、iPod touch (第 6 世代) 以降/tvOS10.2/watchOS3.2
- 対象となるデバイス:
- 影響:悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある。
- 説明:入力検証を強化し、メモリ破損の脆弱性に対処しました。
- CVE-2017-2416:Tencent、KeenLab の Qidan He (何淇丹、@flanker_hqd) 氏
macOS Sierra 10.12.4、セキュリティアップデート 2017-001 El Capitan、セキュリティアップデート 2017-001 Yosemite のセキュリティコンテンツについて – Apple サポート
発見者のQidan Heさんによると、この脆弱性はmacOS 10.12.3やiOS 10.2(tvOS 10.1.1, watchOS 3.1.3)などに存在し、以下の様にGIF画像のWidth/Heightを符号なしで0xff00より大きな値に設定し、ImageIOに処理させることでアプリをクラッシュさせることが可能となっているそうです。
Sample file to test if you’re vulnerable
Grab an image file and change the width/height field to both negative short whose unsigned form value larger than 0xff00.
About security and coding – Flanker Sky
この脆弱性はOS X 10.11やiOS 9など古いOSには存在しませんが、PoCも容易で画像を送りつけるだけでアプリを無限ループに陥れることも可能のため、QidanさんはmacOS 10.12,iOS 10ユーザーに出来るだけはやくmacOS 10.12.4, iOS 10.3へアップデートするように注意を呼びかけています。
- About security and coding – Flanker Sky
- iOS 10.3 のセキュリティコンテンツについて – Apple サポート
- macOS Sierra 10.12.4、セキュリティアップデート 2017-001 El Capitan、セキュリティアップデート 2017-001 Yosemite のセキュリティコンテンツについて – Apple サポート
コメント
>発見者のQidan Heさんによると、この脆弱性はmacOS 10.12.3やiOS 10.2(tvOS 10.2, watchOS 3.2)などに存在し
リンク先見ましたが、watchOSについては言及無いですよね。。
そもそもAppleのセキュリティアップデートにも、watchOS3.2ではCVE-2017-2416は対処済みって書いてありますし。。
カッコで補足するなら、「iOS10.2(tvOS 10.1.1, watchOS 3.1.3)」でしょうか。
失礼しました、バージョン記載ミスでした。
先程更新したので、キャッシュクリア後に正しい表記に修正されると思われます。
iOS 10.2(tvOS 10.2, watchOS 3.2) → iOS10.2(tvOS 10.1.1, watchOS 3.1.3)
ttps://support.apple.com/ja-jp/HT207602
ttps://support.apple.com/ja-jp/HT207601