[[344527]]

研究人員在Facebook instagram 安卓和iOS 版本APP 中發(fā)現(xiàn)了一個(gè)高危漏洞，攻擊者利用該漏洞可以拒絕用戶訪問(wèn)APP，完全控制用戶賬戶，甚至利用手機(jī)設(shè)備監(jiān)聽(tīng)用戶。

漏洞細(xì)節(jié)

該漏洞存在于instagram 處理圖像的方式中，從技術(shù)上將該漏洞是一個(gè)堆溢出漏洞（CVE-2020-1895），當(dāng)instagram 嘗試發(fā)送大一點(diǎn)的文件時(shí)會(huì)觸發(fā)該漏洞。攻擊者只需通過(guò)常見(jiàn)的消息平臺(tái)或郵件向攻擊目標(biāo)發(fā)送精心偽造的圖片就可以觸發(fā)該漏洞。

有漏洞的函數(shù)為read_jpg_copy_loop，會(huì)在解壓縮過(guò)程中引發(fā)整數(shù)溢出。

Read_jpg_copy_loop代碼段

在處理JPEG 圖像文件時(shí)，有漏洞的函數(shù)會(huì)處理圖像尺寸。下面是有漏洞的代碼的偽代碼：

width = rect->right - rect->bottom; 
height = rect->top - rect->left; 
allocated_address = __wrap_malloc(width*height*cinfo->output_components);// output_scanline; 
   if ( (unsigned int)output_scanline >= cinfo->output_height ) 
      break; 
    //reads one line from the file into the cinfo buffer 
    jpeg_read_scanlines(cinfo, line_buffer, 1); 
    if ( output_scanline >= Rect->left && output_scanline < Rect->top ) 
    { 
        memcpy(allocated_address + bytes_copied , line_buffer, width*output_component);// <--Oops 
        bytes_copied += width * output_component; 
    } 
 } 

其中：

_wrap_malloc 函數(shù)會(huì)根據(jù)圖像尺寸的3個(gè)參數(shù)來(lái)分配內(nèi)存塊。Width和height 都是16位的整數(shù)（uint16_t）。

cinfo->output_component 告訴我們有多少個(gè)字節(jié)用來(lái)表示每個(gè)像素。變量的值分別代表不同的意思，1表示Greyscale、3表示RGB、4表示RGB + Alpha\CMYK等。

除了height和width外，output_component 也可以完全被攻擊者控制。因?yàn)樵诜治龅倪^(guò)程中并不會(huì)與文件中的其他數(shù)據(jù)進(jìn)行驗(yàn)證。

__warp_malloc 希望其參數(shù)在32位的寄存器中進(jìn)行處理。也就是說(shuō)如果分配的大小超過(guò) (2^32) 字節(jié)，那么就可以引發(fā)整數(shù)溢出。

分配的大小是通過(guò)圖像的width乘 height再乘以 output_components 得到的。因?yàn)闆](méi)有檢查，那么一旦被攻擊者所控制，進(jìn)一步濫用后就會(huì)引發(fā)整數(shù)溢出。

_wrap_malloc(width * height * cinfo->output_components);// <---- Integer overflow 

然后緩存被傳遞給memcpy，引發(fā)基于堆的緩存溢出。

分配后，memcpy 函數(shù)會(huì)被調(diào)用，然后復(fù)制圖像數(shù)據(jù)到分配的內(nèi)存中。

復(fù)制的過(guò)程是一行一行進(jìn)行的：

memcpy(allocated_address + bytes_copied ,line_buffer, width*output_component);//<--Oops 

size (width*output_component)數(shù)據(jù)也會(huì)被復(fù)制 height 次。

為了引發(fā)內(nèi)存奔潰，還需要溢出決定分配大小的整數(shù)，計(jì)算的結(jié)果必須要大于32 比特。當(dāng)復(fù)制的數(shù)據(jù)大于2^32 (4GB) 時(shí)，如果循環(huán)到了一個(gè)無(wú)法映射的頁(yè)面，程序大概率會(huì)奔潰：

漏洞利用

從漏洞利用的角度來(lái)看，一個(gè)線性堆溢出漏洞使得攻擊者可以控制分配的大小、溢出的數(shù)、以及溢出內(nèi)存區(qū)域的內(nèi)容。

攻擊者利用該漏洞可以按照如下步驟：

• · 通過(guò)郵件、WhatsApp、短信等方式發(fā)送惡意圖片給受害者；
• · 如果用戶保存圖片，并打開(kāi)instagram APP，那么漏洞利用就開(kāi)始了，攻擊者就可以遠(yuǎn)程完全控制目標(biāo)手機(jī)；
• · 漏洞利用會(huì)使得受害者的instagram APP 持續(xù)奔潰，除非卸載后重新安裝。

補(bǔ)丁

Facebook 已于今年春季修復(fù)了該漏洞，F(xiàn)acebook稱沒(méi)有發(fā)現(xiàn)任何漏洞在野利用的跡象。

更多技術(shù)細(xì)節(jié)參見(jiàn)：

https://research.checkpoint.com/2020/instagram_rce-code-execution-vulnerability-in-instagram-app-for-android-and-ios/

本文翻譯自：https://www.bleepingcomputer.com/news/security/instagram-bug-allowed-crashing-the-app-via-image-sent-to-device/如若轉(zhuǎn)載，請(qǐng)注明原文地址
【編輯推薦】