WhatsApp y Apple en emergencia: bug DNG permite control remoto sin clics

Redazione RHC : 8 septiembre 2025 17:22

El 20 de agosto, Apple lanzó una actualización de seguridad no programada para los principales sistemas operativos: iOS, iPadOS, macOS y otras plataformas. El parche soluciona la vulnerabilidad CVE-2025-43300 en el módulo ImageIO: un error de desbordamiento de búfer que se solucionó mediante una comprobación de límites más estricta durante el procesamiento de imágenes. La vulnerabilidad ha recibido cada vez más atención: se ha reportado como «explotada en ataques reales» y sin intervención del usuario.

Por otra parte, WhatsApp publicó una corrección que indica que los atacantes podrían forzar al dispositivo de la víctima a descargar un recurso desde una URL arbitraria y comenzar a procesarlo. Se cree que este problema forma parte de una cadena de exploits relacionada con CVE-2025-43300.

Los investigadores desmantelaron rápidamente el parche e identificaron su causa raíz. Según sus datos, el problema reside en el controlador de formato DNG, donde se detecta la compresión JPEG Lossless dentro del «negativo digital». El análisis de los archivos binarios reveló el punto de modificación en el componente RawCamera dentro de ImageIO. Las nuevas compilaciones ofrecen una comprobación adicional de desbordamiento al descomprimir líneas de imagen: Se han añadido comprobaciones para el tamaño del búfer asignado y la gestión de excepciones en caso de que la grabación exceda el área válida.

La esencia del error se debe a una lógica incorrecta al descomprimir fotogramas: el código se basaba en el número de «muestras por píxel» y esperaba al menos dos componentes, mientras que el número real de componentes en el flujo podría haber sido uno.

Debido a esta discrepancia, el bucle de descompresión sobrepasó el límite de memoria asignado y escribió datos que excedían los límites de memoria. En cuanto a los formatos, hablamos de DNG en representación TIFF con «cadenas» (tiras), donde se utilizan los campos RowsPerStrip, StripOffsets y StripByteCounts. Debido a que no se tuvieron en cuenta los componentes y tamaños de línea, el descompresor provocó un desbordamiento de búfer.

Los desarrolladores e ingenieros inversos han registrado una cantidad mínima de cambios entre versiones, como era de esperar para un parche no programado, pero resuelven el peligroso escenario de «cero clics». Según los investigadores, la cadena podría activarse simplemente al recibir imágenes a través de Messenger u otros canales donde el sistema las procesa automáticamente. Al mismo tiempo, los servicios individuales a lo largo de la ruta de distribución podrían modificar su calidad o metadatos, pero esto no es crítico para activar la vulnerabilidad.

La conclusión es predecible, pero importante: los analizadores de formatos multimedia son uno de los puntos más insidiosos de cualquier sistema. El error en el número de componentes y el tamaño del búfer parece obvio cuando se sabe dónde buscar, pero sin el parche era difícil de detectar: la función de desempaquetado es extensa, utiliza tablas de Huffman, lógica de ramificación y la infraestructura orientada a objetos de los frameworks de Apple. La solución es sencilla: gestión adicional del búfer y un fallo inicial al intentar sobrescribir la memoria.

Se recomienda a los usuarios instalar las últimas versiones de sus sistemas lo antes posible. Si bien la vulnerabilidad ya se ha corregido, casos como este nos recuerdan que cualquier análisis automatizado de contenido (imágenes, documentos o archivos) requiere rigurosos controles y protección a nivel de plataforma.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli