IOS पर CoreGraphics में क्रिटिकल बग

इस लेख में, हम iOS में CoreGraphics में एक महत्वपूर्ण बग की तलाश करते हैं। मुझे तुरंत कहना होगा कि यह बग निश्चित रूप से एक पूर्ण भेद्यता को आकर्षित नहीं करता है - इसका संचालन नहीं होता है, उदाहरण के लिए, कोड के मनमाने ढंग से निष्पादन के लिए। हालाँकि, यह बग आपको उन अनुप्रयोगों को क्रैश करने की अनुमति देता है जो WebKit: Mobile Safari, iOS के लिए Google Chrome, सभी प्रकार के ईमेल क्लाइंट आदि का उपयोग करते हैं, जो कुछ स्थितियों में हैकर के लिए भी उपयोगी हो सकता है। तो, चलिए खोज शुरू करते हैं।

बग खोज

हम खोज के लिए इस सैंडबॉक्स का उपयोग करेंगे:

• iPhone 4
• iOS 7.0.4 evasi0n जेलब्रेक के साथ
• एलएलडीबी + डिबगसर्वर बंडल एक डिबगर के रूप में

हम WebKit में या WebKit उपयोग करने वाले सिस्टम लाइब्रेरी में बग की तलाश करेंगे। आगे की हलचल के बिना, हम जाने-माने रास्ते पर चलेंगे:

1. कुछ प्राचीन मल्टीमीडिया प्रारूप खोजें, जो वर्तमान में चल रहे हैं लेकिन अभी भी WebKit द्वारा समर्थित हैं।
2. इस प्रारूप के लिए एक फ़र्ज़र लिखें, इसे कुछ एप्लिकेशन पर चलाएं जो WebKit (उदाहरण के लिए, मोबाइल सफारी) का उपयोग करता है और चाय पीने के लिए छोड़ देता है।
3. ...
4. लाभ? .. यदि नहीं, तो चरण 1 पर लौटें।

पहले पैराग्राफ से शुरू करते हैं। विकिपीडिया में अफवाह फैलाने वाले और वेबकेट का समर्थन करने वाले छवि प्रारूपों को देखने के बाद, हम एक्सबीएम पर ध्यान देंगे। यह एक श्वेत और श्याम चित्रों के लिए एक पाठ प्रारूप है, जो पुराने रूप में पुराना है, लेकिन WebKit अभी भी इसका समर्थन करता है। चूंकि XBM का उपयोग कई वर्षों से वेब पर किसी ने भी नहीं किया है, इसलिए WebKit के डेवलपर्स को लंबे समय तक परीक्षण और इंजन में संबंधित कोड को "चाटना" करने की भूल है। इसलिए कुछ पुरानी, ​​अनसुलझे त्रुटि के लिए इस कोड को देखना संभव है।

खैर, हमने प्रारूप पर फैसला किया। बग खोजने के लिए हमारी योजना के दूसरे बिंदु पर चलते हैं। हम एक्सबीएम प्रारूप का विवरण पढ़ते हैं, फिर हम नेटवर्क पर किसी तरह की .xbm फाइल को .xbm और इसे "खराब" करने की कोशिश करते हैं ताकि यह WebKit या कुछ सिस्टम लाइब्रेरी में त्रुटि का कारण बने जो WebKit उपयोग करता है। एक छोटी खोज के बाद, मैं इस फाइल में आया:

  #define test_width 16
 #define test_height 16
 स्थिर अहस्ताक्षरित char test_bits [] = {
      0xff, 0xff, 0x01, 0x80, 0xfd, 0xbf, 0x05, 0xa0, 0xf5, 0xaf, 0x15, 0xa8,
      0xd5, 0xab, 0x55, 0xaa, 0x55, 0xaa, 0xd5, 0xab, 0x15, 0xa8, 0xf5, 0xaf,
      0x05, 0xa0, 0xfd, 0xbf, 0x01, 0x80, 0xff, 0xff};

यदि हम इस फाइल को मोबाइल सफारी में खोलते हैं, तो हम एक छोटे से (16 पिक्सल के 16 इंच) को ध्यान केंद्रित वर्गों की तस्वीर देखेंगे:


यह निश्चित रूप से बेहतर है कि इस फाइल को विशेष रूप से इस उद्देश्य के लिए लिखा गया है, लेकिन फ़ज़र लिखने के लिए बहुत आलसी है, इसलिए शुरुआत के लिए हम अपने हाथों से फ़ाइल को पुराने तरीके से "खराब" करने का प्रयास करेंगे। आइए test_width और test_height साथ खेलते हैं - अचानक WebKit के सभी छवि को रेंडर करते समय इन मूल्यों की जांच नहीं करते हैं और हम कहीं न कहीं ओवरफ्लो करने के लिए कुछ प्राप्त कर सकते हैं? test_width को शून्य या नकारात्मक मान असाइन करने का प्रयास और test_height दुर्भाग्य से कुछ भी नहीं करने के लिए नेतृत्व। हालांकि, बहुत जल्द ही हमें पता चलेगा कि बड़े मूल्यों के साथ test_width मोबाइल सफारी क्रैश! उदाहरण के लिए, जब आप ऐसी फाइल खोलने की कोशिश करते हैं

  #define test_width 123456
 #define test_height 16
 स्थिर अहस्ताक्षरित char test_bits [] = {
      0xff, 0xff, 0x01, 0x80, 0xfd, 0xbf, 0x05, 0xa0, 0xf5, 0xaf, 0x15, 0xa8,
      0xd5, 0xab, 0x55, 0xaa, 0x55, 0xaa, 0xd5, 0xab, 0x15, 0xa8, 0xf5, 0xaf,
      0x05, 0xa0, 0xfd, 0xbf, 0x01, 0x80, 0xff, 0xff};

मोबाइल सफारी बस बिना किसी संदेश के बंद हो जाती है। IOS के लिए Google Chrome उसी तरह का व्यवहार करता है। यह देखते हुए कि दोनों ब्राउज़र WebKit का उपयोग करते हैं, ऐसा लगता है कि हमें या तो WebKit में या कुछ सिस्टम लाइब्रेरी में एक बग मिला, जो WebKit छवियों को प्रस्तुत करने के लिए उपयोग करता है।

बग विश्लेषण

तो वास्तव में हमारी बग कहाँ रहती है और इसे कैसे व्यवस्थित किया जाता है? ऐप क्यों क्रैश हो रहे हैं? डिबगर के तहत मोबाइल सफारी में हमारी "क्षतिग्रस्त" फ़ाइल खोलें और बैकट्रेस देखें:


चलिए argb32_image_mark में argb32_image_mark फ़ंक्शन पर करीब से नज़र CoreGraphics , क्योंकि बैकट्रेस द्वारा देखते हुए, यह वह है जो एप्लिकेशन को ड्रॉप करने वाले memset कॉल करता है। डिबगर के तहत मोबाइल सफारी को फिर से लॉन्च करें और देखें कि argb32_image_mark फ़ंक्शन में क्या होता है यदि ब्राउज़र .xbm फ़ाइल को 123456 की छवि चौड़ाई के साथ .xbm । और निम्न होता है (कृपया ध्यान रखें कि बग से संबंधित कोड को छोड़ नहीं दिया गया है, और पते ASLR के कारण बैकट्रेस स्क्रीनशॉट में उन लोगों से अलग हैं):

  CoreGraphics`argb32_image_mark (0x2f96a970 पर):
 ...
 0x2f96a97a: mov r6, sp;  r6 = सपा
 0x2f96a97c: mov r5, r0;  r5 = पहला तर्क argb32_image_mark
 ...
 0x2f96a9a0: ldr r0, [r5, # 4];  r0 = [पहला तर्क + 4] = छवि चौड़ाई
 ...
 0x2f96a9b0: str r0, [r6, # 100];  स्थानीय चर के लिए छवि चौड़ाई बचाने के लिए
 ...
 0x2f96a9d2: ldr r3, [r1, # 12];  r3 = [दूसरा तर्क + 12]
 ...
 0x2f96a9ea: ldr r1, [r6, # 100];  r1 में स्थानीय चर से छवि चौड़ाई प्राप्त करें
 ...
 0x2f96a9f6: r0, r3, # 6 जोड़ता है;  r0 = r3 + 6
 0x2f96a9f8: muls r0, r1, r0;  r0 = r1 * r0
 0x2f96a9fa: add.w r2, r0, # 96;  r2 = r0 + 96
 ...
 0x2f96aa04: r0, r2, # 3 जोड़ता है;  r0 = r2 + 3
 0x2f96aa06: bic r0, r0, # 3;  r0 = r0 & 0xfffffff8
 0x2f96aa0a: sub.w r11, sp, r0;  r11 = sp - r0
 0x2f96aa0e: mov sp, r11;  sp = r11

इन निर्देशों का पालन करने के बाद, नया sp मान सेट किया जाता है

  sp = sp - ([[दूसरा तर्क + १२] + ६) * छवि चौड़ाई + ९९) और ० xfffffff8

हालाँकि, जो भी चित्र मैं नहीं खोलूंगा, [ + 12] हमेशा शून्य था। इस तथ्य को देखते हुए, हम यह मान सकते हैं

  sp = sp - (6 * छवि चौड़ाई + 99) और 0xfffffff8

argb32_image_mark फ़ंक्शन argb32_image_mark पैरामीटर पर खराब नियंत्रण है और यदि चौड़ाई बहुत बड़ी है, तो चयनित स्टैक की सीमाओं से परे "पत्ते" को छोड़ दें। इसके बाद तुरंत एक memset कॉल आता है और स्टैक से परे मेमोरी को शून्य करने का प्रयास एप्लिकेशन को क्रैश कर देता है:

  0x2f96aa10: mov r0, r11;  नया सपा मूल्य मानदंड का पता है
 0x2f96aa12: movs r1, # 0;  इस पते पर शून्य मेमोरी
 0x2f96aa14: blx 0x2fa339cc;  कॉल मेमसेट
 ...

वास्तव में यह कोरग्राफिक्स में एक महत्वपूर्ण बग है, जिसकी चर्चा लेख के शीर्षक में की गई थी।

यह कहाँ काम करता है?

आईओएस के लिए मेरा बग मोबाइल सफारी और गूगल क्रोम पर खेलता है

• आईओएस 7.0.4 के साथ आईफोन 4
• iOS 7.0.6 के साथ iPhone 5 (इस डिवाइस पर एक बग और Yekver द्वारा iOS संस्करण की पुष्टि भी की गई है, नीचे दी गई सूची देखें)

मैंने iOS के अन्य उपकरणों / संस्करणों की कोशिश नहीं की है, क्योंकि मेरे पास उनके पास नहीं है। टिप्पणियों और निजी संदेशों में वे यह भी लिखते हैं कि बग को फिर से बनाया जा रहा है

• आईओएस 6.1.5 (10 बी 400) के साथ आईपॉड टच 4 जी - परीक्षण के लिए धन्यवाद टेम्पलर
• IOS 7.0.6 के साथ Apple iPad मिनी - परीक्षण के लिए पावेल अकरमेव को धन्यवाद
• आईओएस 7.0.4 के साथ आईपैड मिनी रेटिना - परीक्षण के लिए धन्यवाद टेम्पलर
• आईओएस 7.0.6 के साथ आईपैड मिनी रेटिना - परीक्षण के लिए अधिकतम करने के लिए धन्यवाद
• आईओएस 7.0.4 के साथ आईपैड एयर - परीक्षण के लिए धन्यवाद ryad0m
• iOS 7.0.6 के साथ iPad Air - परीक्षण के लिए धन्यवाद ryad0m
• iOS 6.1 के साथ iPhone 5 - परीक्षण के लिए धन्यवाद silvansky
• आईओएस 7.0.6 के साथ iPhone 5 - परीक्षण के लिए येकवर के लिए धन्यवाद
• नवीनतम iOS 7.1 के साथ iPhone 5s - परीक्षण के लिए धन्यवाद Anakros

अगर कोई अपने iOS डिवाइस पर Safari को क्रैश करने का प्रयास करना चाहता है, तो यहां लिंक दिया गया है:

codedigging.com/test.xbm

निष्कर्ष

बग बेशक महत्वपूर्ण है, लेकिन सुरक्षा के दृष्टिकोण से, यह उपयोगकर्ताओं के लिए बहुत डरावना नहीं है। अधिकतम जो होगा - WebKit का उपयोग करने वाला यह एप्लिकेशन एक .xbm चित्र को चबाने में सक्षम नहीं होगा और .xbm हो जाएगा। अप्रिय लेकिन घातक नहीं।

Apple में, मैंने कहा, मुझे उम्मीद है कि अगले iOS अपडेट में सबकुछ ठीक हो जाएगा।

खुश डिबगिंग!

अपडेट जून २०, २०१४: आज Apple sec टीम से एक ईमेल आया। वे लिखते हैं कि त्रुटि पर विचार किया गया है, सीवीई को इसे सौंपा जाएगा और इसे अगले आईओएस अपडेट में तय किया जाएगा। "आधा साल नहीं गुजरेगा ..." (ग)

अपडेट जून 30, 2014

  APPLE-SA-2014-06-30-3 iOS 7.1.2

 iOS 7.1.2 अब उपलब्ध है और निम्नलिखित को संबोधित करता है:

 ...

 CoreGraphics
 इसके लिए उपलब्ध: iPhone 4 और बाद में,
 iPod टच (5 वीं पीढ़ी) और बाद में, iPad 2 और बाद में
 प्रभाव: दुर्भावनापूर्ण रूप से तैयार की गई XBM फ़ाइल को देखने से a
 अप्रत्याशित अनुप्रयोग समाप्ति या मनमाना कोड निष्पादन
 विवरण: एक अनबाउंड स्टैक आवंटन समस्या मौजूद है
 XBM फ़ाइलों को संभालना।  इस मुद्दे को सुधार के माध्यम से संबोधित किया गया था
 जाँच की सीमा।
 CVE-आईडी
 CVE-2014-1354: codedigging.com की डिमा कोवलेंको 

हम्म, ओके, iOS 7.1.2 में तय किया गया है। अच्छा किया, चो :)