WhatsApp e Apple in emergenza: il bug DNG permette il controllo remoto senza click

Il 20 agosto, Apple ha rilasciato un aggiornamento di sicurezza non programmato per tutti i principali sistemi operativi: iOS, iPadOS, macOS e altre piattaforme. La patch risolve la vulnerabilità CVE-2025-43300 nel modulo ImageIO: un errore di buffer overflow che è stato risolto tramite un controllo dei limiti più rigoroso durante l’elaborazione delle immagini. La vulnerabilità ha ricevuto crescente attenzione: è stata segnalata come “sfruttata in attacchi reali” e senza l’intervento dell’utente.

Separatamente, WhatsApp ha rilasciato una correzione, sottolineando che gli aggressori potrebbero forzare il dispositivo della vittima a scaricare una risorsa da un URL arbitrario e ad avviarne l’elaborazione; si ritiene che questo problema possa essere stato parte di una catena di exploit con CVE-2025-43300.

I ricercatori hanno rapidamente smontato la patch e ne hanno individuato la causa principale. Secondo i loro dati, il problema si nasconde nel gestore del formato DNG, quando all’interno del “negativo digitale” vengono rilevati dati compressi dall’algoritmo JPEG Lossless. L’analisi dei file binari ha evidenziato il punto di modifica nel componente RawCamera all’interno di ImageIO. Le nuove build offrono un controllo aggiuntivo per superare i limiti durante la decompressione delle linee di immagine: sono stati aggiunti controlli per la dimensione del buffer allocato e la gestione delle eccezioni nel caso in cui la registrazione possa superare l’area valida.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’essenza dell’errore è dovuta a una logica errata durante l’unpacking dei frame: il codice era guidato dal numero di “campioni per pixel” e si aspettava almeno due componenti, mentre il numero effettivo di componenti nel flusso poteva essere pari a uno.

A causa di questa discrepanza, il ciclo di unpacking è andato oltre il dovuto e ha scritto dati oltre i limiti della memoria allocata. In termini di formati, stiamo parlando di DNG in rappresentazione TIFF con “stringhe” (strisce), dove vengono utilizzati i campi RowsPerStrip, StripOffsets e StripByteCounts; a causa dell’errore nel tenere conto dei componenti e delle dimensioni delle righe, l’unpacker ha consentito un buffer overflow .

Gli sviluppatori e i reverse engineer hanno registrato una quantità minima di modifiche tra le versioni, come previsto per una patch non programmata, ma chiudono il pericoloso scenario “zero-click”. Secondo i ricercatori, la catena potrebbe essere attivata semplicemente ricevendo immagini tramite messenger o altri canali in cui le immagini vengono elaborate automaticamente dal sistema. Allo stesso tempo, i singoli servizi lungo il percorso di distribuzione potrebbero modificarne la qualità o i metadati, ma ciò non è critico per l’attivazione della vulnerabilità.

La conclusione è prevedibile ma importante: i parser dei formati multimediali sono uno dei punti più insidiosi di qualsiasi sistema. Il bug a livello di conteggio dei componenti e dimensione del buffer sembra ovvio quando si sa dove guardare, ma senza la patch era difficile da individuare: la funzione di unpacking è di grandi dimensioni, utilizza tabelle di Huffman, logica ramificata e l’infrastruttura a oggetti dei framework Apple. La correzione è semplice: gestione aggiuntiva del buffer e un crash iniziale durante il tentativo di sovrascrivere la memoria.

Si consiglia agli utenti di installare le versioni più recenti dei sistemi il prima possibile. Anche se la vulnerabilità è già stata risolta, casi come questo ci ricordano che qualsiasi analisi automatica di contenuti – immagini, documenti o archivi – richiede controlli e protezione rigorosi a livello di piattaforma.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.