Об этом сообщили в блоге команды Project Zero. 

Специалисты из команды аналитиков в сфере безопасности Project Zero, нанятые Google, использовали метод под названием “фаззинг”, чтобы проверить, как Image I/O (фреймворк, встроенный во все операционные системы Apple, как iOS, macOS, tvOS и watchOS) обрабатывает искаженные файлы изображений.

В результате им удалось обнаружить 14 уязвимостей, шесть­ из которых затрагивают непосредственно Image I/O. Еще восемь проблем связаны с OpenEXR — библиотекой с открытым исходным кодом для анализа файлов изображений EXR, которая поставляется вместе с Image I/O.

Project Zero отметили, что злоумышленники могут эксплуатировать эти проблемы с помощью мессенджеров, просто отправив жертве специальный файл. Эти баги могут быть использованы злоумышленниками, например, для удаленного выполнения кода без какого-либо участия пользователя.

Специалисты уверяют, что эти баги не позволяют получить контроль над уязвимым устройством, однако этот вопрос не был детально изучен ими.

Также эксперты отметили, что в настоящее время часть обнаруженных проблем уже исправлены. Так шесть багов в коде Image I/O получили исправления в январе и апреле, а проблемы в OpenEXR были устранены в феврале.

Project Zero выразили надежду, что их анализ послужит отправной точкой для дальнейшего изучения компонентов операционных систем от Apple, которые используются для обработки изображений и мультимедиа.

  • Ранее в iPhone и iPad обнаружен баг, который позволяет злоумышленнику вывести из строя гаджет, отправив на него “текстовую бомбу”.