WhatsApp e Apple in emergenza: il bug DNG permette il controllo remoto senza click

Il 20 agosto, Apple ha rilasciato un aggiornamento di sicurezza non programmato per tutti i principali sistemi operativi: iOS, iPadOS, macOS e altre piattaforme. La patch risolve la vulnerabilità CVE-2025-43300 nel modulo ImageIO: un errore di buffer overflow che è stato risolto tramite un controllo dei limiti più rigoroso durante l’elaborazione delle immagini. La vulnerabilità ha ricevuto crescente attenzione: è stata segnalata come “sfruttata in attacchi reali” e senza l’intervento dell’utente.

Separatamente, WhatsApp ha rilasciato una correzione, sottolineando che gli aggressori potrebbero forzare il dispositivo della vittima a scaricare una risorsa da un URL arbitrario e ad avviarne l’elaborazione; si ritiene che questo problema possa essere stato parte di una catena di exploit con CVE-2025-43300.

I ricercatori hanno rapidamente smontato la patch e ne hanno individuato la causa principale. Secondo i loro dati, il problema si nasconde nel gestore del formato DNG, quando all’interno del “negativo digitale” vengono rilevati dati compressi dall’algoritmo JPEG Lossless. L’analisi dei file binari ha evidenziato il punto di modifica nel componente RawCamera all’interno di ImageIO. Le nuove build offrono un controllo aggiuntivo per superare i limiti durante la decompressione delle linee di immagine: sono stati aggiunti controlli per la dimensione del buffer allocato e la gestione delle eccezioni nel caso in cui la registrazione possa superare l’area valida.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’essenza dell’errore è dovuta a una logica errata durante l’unpacking dei frame: il codice era guidato dal numero di “campioni per pixel” e si aspettava almeno due componenti, mentre il numero effettivo di componenti nel flusso poteva essere pari a uno.

A causa di questa discrepanza, il ciclo di unpacking è andato oltre il dovuto e ha scritto dati oltre i limiti della memoria allocata. In termini di formati, stiamo parlando di DNG in rappresentazione TIFF con “stringhe” (strisce), dove vengono utilizzati i campi RowsPerStrip, StripOffsets e StripByteCounts; a causa dell’errore nel tenere conto dei componenti e delle dimensioni delle righe, l’unpacker ha consentito un buffer overflow .

Gli sviluppatori e i reverse engineer hanno registrato una quantità minima di modifiche tra le versioni, come previsto per una patch non programmata, ma chiudono il pericoloso scenario “zero-click”. Secondo i ricercatori, la catena potrebbe essere attivata semplicemente ricevendo immagini tramite messenger o altri canali in cui le immagini vengono elaborate automaticamente dal sistema. Allo stesso tempo, i singoli servizi lungo il percorso di distribuzione potrebbero modificarne la qualità o i metadati, ma ciò non è critico per l’attivazione della vulnerabilità.

La conclusione è prevedibile ma importante: i parser dei formati multimediali sono uno dei punti più insidiosi di qualsiasi sistema. Il bug a livello di conteggio dei componenti e dimensione del buffer sembra ovvio quando si sa dove guardare, ma senza la patch era difficile da individuare: la funzione di unpacking è di grandi dimensioni, utilizza tabelle di Huffman, logica ramificata e l’infrastruttura a oggetti dei framework Apple. La correzione è semplice: gestione aggiuntiva del buffer e un crash iniziale durante il tentativo di sovrascrivere la memoria.

Si consiglia agli utenti di installare le versioni più recenti dei sistemi il prima possibile. Anche se la vulnerabilità è già stata risolta, casi come questo ci ricordano che qualsiasi analisi automatica di contenuti – immagini, documenti o archivi – richiede controlli e protezione rigorosi a livello di piattaforma.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli