Xakep #305. Многошаговые SQL-инъекции
Разработчики Apple классифицировали недавно исправленную уязвимость в Vision Pro как проблему отказа в обслуживании (DoS), однако исследователь, обнаруживший эту ошибку, продемонстрировал, что на самом деле это более интересный баг.
Недавно Apple выпустила visionOS 1.2, обновив операционную систему своей VR-гарнитуры Vision Pro. Обновление устранило сразу несколько уязвимостей, но одна из них выделяется тем, что это один из первых багов, который относится именно к этому продукту, а также «первый в истории хак в области пространственных вычислений», как заявляет исследователь.
Проблема, получившая идентификатор CVE-2024-27812, связана с обработкой специально созданного веб-контента. По информации Apple, она может привести к отказу в обслуживании. Однако обнаруживший этот баг ИБ-специалист, Райан Пикрен (Ryan Pickren) продемонстрировал, что речь идет не просто о DoS-проблеме.
Vision Pro спроектирована таким образом, чтобы предотвращать запуск неавторизованных приложений и проникновение в личное пространство пользователя.
«По умолчанию нативные приложения ограничены контекстом Shared Space, где они ведут себя предсказуемо и их можно легко закрыть, — пишет эксперт. — Если приложение хочет предложить более иммерсивный опыт, оно должно получить явное разрешение от пользователя через подсказку на уровне ОС, что переведет приложение в доверенный контекст Full Space».
Кроме того, сайты, которые пользователь посещает в Safari с помощью Vision Pro, могут воспроизводить 3D-объекты в комнате лишь в том случае, если пользователь вручную даст на это явное одобрение.
Однако Пикрен обнаружил, что Apple не применяет тот же уровень защиты к ARKit Quick Look, функции iOS, созданной несколько лет назад. Оказалось, что эта функция по-прежнему присутствует в WebKit и не требует никаких разрешений в Safari.
Исследователь показал, что злоумышленник может использовать эту функцию для создания 3D-объектов любого типа, включая анимированные и со звуковыми эффектами. Для этого достаточно вынудить пользователя посетить вредоносный сайт.
В качестве proof-of-concept такой атаки Пикрен продемонстрировал, как комната пользователя может наполниться сотнями виртуальных пауков и громко кричащих летучих мышей.
«Еще более жутко то, что эти анимированные файлы обрабатываются отдельным приложением (Quick Look), поэтому закрытие Safari не избавит от них, — объясняет исследователь. — А поскольку в visionOS нет Dock или какого-либо другого Open Apps UI, нет очевидного способа избавиться от них, только вручную бегать по комнате, чтобы физически коснуться каждого».
Эксперт заключает, что был удивлен тем, что Apple классифицировала эту проблему как DoS. По его словам, компания выплатила ему вознаграждение за его находку, однако точная сумма не разглашается.