WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Chi tiết lỗ hổng CVE-2022-26730 trên macOS
Lỗ hổng bộ nhớ tồn tại trong quá trình xử lý các profile ICC. Vấn đề đã được khắc phục trong macOS Ventura 13. Việc xử lý một hình ảnh độc hại do hacker tạo ra có thể dẫn đến việc thực thi mã tùy ý.
Bản vá đã được phát hành cho: Mac Studio (2022), Mac Pro (2019 trở lên), MacBook Air (2018 trở lên), MacBook Pro (2017 trở lên), Mac mini (2018 trở lên), iMac (2017 trở lên), MacBook (2017) và iMac Pro (2017).
CVE-2022-26730 được tìm thấy trong thẻ ‘cprt’ của dữ liệu mluc’ trong Multi-localized Strings Code.
CVE-2022-26730 tồn tại trong:
Trường hợp 1: Hacker tạo ra một profile ICC Color có tên bad.icc, sau đó nhúng vào good.png.
Trường hợp 2: Kẻ tấn công tạo ra tệp HTML có tham chiếu đến ICC độc hại hoặc hình ảnh đồ họa.
Bản vá đã được phát hành cho: Mac Studio (2022), Mac Pro (2019 trở lên), MacBook Air (2018 trở lên), MacBook Pro (2017 trở lên), Mac mini (2018 trở lên), iMac (2017 trở lên), MacBook (2017) và iMac Pro (2017).
CVE-2022-26730 tồn tại trong:
- ColorSync, Safari, Finder, và các ứng dụng khác sử dụng profile ICC hoặc các tệp đồ họa có nhúng profile ICC trên macOS 12
- Các chương trình Công cụ dành cho nhà phát triển của Apple có tồn tại các vấn đề bộ nhớ khác đã được giải quyết trong macOS 13
Trường hợp 1: Hacker tạo ra một profile ICC Color có tên bad.icc, sau đó nhúng vào good.png.
Trường hợp 2: Kẻ tấn công tạo ra tệp HTML có tham chiếu đến ICC độc hại hoặc hình ảnh đồ họa.
Theo: srd.cx
Chỉnh sửa lần cuối bởi người điều hành: