HackTricksWWW2Exec - sips ICC Profiel Uit-die-grense Skryf (CVE-2024-44236)
Reading time: 3 minutes
tip
Leer en oefen AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Leer en oefen Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die đŹ Discord groep of die telegram groep of volg ons op Twitter đŠ @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.
Oorsig
'n Uit-die-grense skryf kwesbaarheid in Apple macOS Scriptable Image Processing System (sips) ICC profiel parser (macOS 15.0.1, sips-307) as gevolg van onvanpaste validasie van die offsetToCLUT veld in lutAToBType (mAB ) en lutBToAType (mBA ) etikette. 'n Gemaakte ICC-lĂȘer kan nul-skrywe tot 16 bytes oor die heap buffer aktiveer, wat heap metadata of funksie wysers korrupteer en willekeurige kode-uitvoering moontlik maak (CVE-2024-44236).
Kwetsbare Kode
Die kwesbare funksie lees en nulmaak 16 bytes wat begin vanaf 'n aanvaller-beheerde offset sonder om te verseker dat dit binne die toegewyde buffer lĂȘ:
// Pseudocode from sub_1000194D0 in sips-307 (macOS 15.0.1)
for (i = offsetToCLUT; i < offsetToCLUT + 16; i++) {
if (i > numberOfInputChannels && buffer[i] != 0)
buffer[i] = 0;
}
Slegs 'n kontrole offsetToCLUT <= totalDataLength word uitgevoer. Deur offsetToCLUT == tagDataSize in te stel, indeks die lus tot 16 bytes na die einde van buffer, wat aangrensende heap metadata korrupteer.
Exploitasiestappe
- Skep 'n kwaadwillige
.iccprofiel:
- Bou die ICC-kop (128 bytes) met handtekening
acspen 'n enkelelutAToBTypeoflutBToATypetag-invoer. - Stel in die tag-tabel
offsetToCLUTgelyk aan die tag sesize(tagDataSize). - Plaas aanvaller-beheerde data onmiddellik na die tag data blok om heap metadata te oorskryf.
- Trigger parsing:
sips --verifyColor malicious.icc
- Heap metadata korrupsie: Die OOB nul-skrywings oorskryf allokator metadata of aangrensende wysers, wat die aanvaller in staat stel om die vloei van beheer te kapen en arbitrĂȘre kode-uitvoering in die konteks van die
sipsproses te bereik.
Impak
Suksesvolle eksploitatie lei tot afstandelike arbitrĂȘre kode-uitvoering met gebruikersprivilege op macOS-stelsels wat die kwesbare sips nut gebruik.
Opsporing
- Monitor lĂȘer oordragte op algemene protokolle (FTP, HTTP/S, IMAP, SMB, NFS, SMTP).
- Inspekteer oorgedra lĂȘers met handtekening
acsp. - Vir elke
mABofmBAtag, verifieer of dieOffset to CLUTveld gelyk is aan dieTag data size. - Merk as verdag indien hierdie voorwaarde nagekom word.
Verwysings
- ZDI blog: CVE-2024-44236: Afstandelike Kode-uitvoering Kwesbaarheid in Apple macOS sips Nut https://www.thezdi.com/blog/2025/5/7/cve-2024-44236-remote-code-execution-vulnerability-in-apple-macos
- Apple Oktober 2024 Sekuriteitsopdatering (patch wat CVE-2024-44236 verskaf) https://support.apple.com/en-us/121564
{{#include /banners/hacktricks-training.md}}