HackTricksWWW2Exec - sips ICC profil vanrednog pisanja (CVE-2024-44236)
tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Pregled
Ranljivost vanrednog pisanja u Apple macOS Scriptable Image Processing System (sips) parseru ICC profila (macOS 15.0.1, sips-307) zbog nepravilne validacije polja offsetToCLUT u lutAToBType (mAB ) i lutBToAType (mBA ) oznakama. Prilagođena ICC datoteka može izazvati nulti pisanja do 16 bajtova izvan bafera na hrpi, korumpirajući metapodatke hrpe ili pokazivače funkcija i omogućavajući izvršavanje proizvoljnog koda (CVE-2024-44236).
Ranljivi kod
Ranljiva funkcija čita i postavlja na nulu 16 bajtova počevši od ofseta koji kontroliše napadač, bez osiguranja da se nalazi unutar alociranog bafera:
// Pseudocode from sub_1000194D0 in sips-307 (macOS 15.0.1)
for (i = offsetToCLUT; i < offsetToCLUT + 16; i++) {
if (i > numberOfInputChannels && buffer[i] != 0)
buffer[i] = 0;
}
Samo se provera offsetToCLUT <= totalDataLength vrši. Postavljanjem offsetToCLUT == tagDataSize, petlja indeksira do 16 bajtova nakon kraja buffer, korumpirajući susedne heap metapodatke.
Koraci za eksploataciju
- Kreirajte zloćudni
.iccprofil:
- Izgradite ICC header (128 bajtova) sa potpisom
acspi jednimlutAToBTypeililutBToATypetag unosa. - U tabeli tagova, postavite
offsetToCLUTjednaksizetag-a (tagDataSize). - Postavite podatke pod kontrolom napadača odmah nakon bloka podataka tag-a kako biste prepisali heap metapodatke.
- Pokrenite parsiranje:
sips --verifyColor malicious.icc
- Korupcija heap metapodataka: OOB nulti-pisanja prepisuju metapodatke alokatora ili susedne pokazivače, omogućavajući napadaču da preuzme kontrolu nad tokom izvršavanja i postigne proizvoljno izvršavanje koda u kontekstu
sipsprocesa.
Uticaj
Uspešna eksploatacija rezultira daljinskim proizvoljnim izvršavanjem koda sa privilegijama korisnika na macOS sistemima koji pokreću ranjivu sips alatku.
Detekcija
- Pratite prenose datoteka na uobičajenim protokolima (FTP, HTTP/S, IMAP, SMB, NFS, SMTP).
- Istražite prenesene datoteke sa potpisom
acsp. - Za svaki
mABilimBAtag, proverite da li poljeOffset to CLUTjednakoTag data size. - Obeležite kao sumnjivo ako je ovaj uslov ispunjen.
Reference
- ZDI blog: CVE-2024-44236: Ranljivost daljinskog izvršavanja koda u Apple macOS sips alatki https://www.thezdi.com/blog/2025/5/7/cve-2024-44236-remote-code-execution-vulnerability-in-apple-macos
- Apple oktobar 2024. Bezbednosno ažuriranje (zakrpa koja isporučuje CVE-2024-44236) https://support.apple.com/en-us/121564
tip
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.