Présent dans toutes les plateformes d'Apple (macOS, iOS, iPadOS, watchOS, tvOS), Image I/O est un framework utilisé pour le traitement en lecture et écriture des fichiers d'images avec la plupart des formats. Les applications l'utilisent pour les métadonnées.

Image I/O constitue une surface d'attaque et les hackers de Project Zero de Google l'ont mis à l'épreuve avec une technique de fuzzing. Elle consiste à injecter des données aléatoires ou mal formées en entrée afin de mettre au jour des bugs de sécurité via des traitements erratiques.

Le résultat a été la découverte de six vulnérabilités de sécurité dans Image I/O, ainsi que huit vulnérabilités dans OpenEXR qui est une bibliothèque logicielle open source pour le traitement de fichiers d'images au format EXR et un composant tiers pour Image I/O.

Toutes ces vulnérabilités ont été corrigées. Pour Image I/O, cela a été le cas dans le cadre de mises à jour de sécurité publiées par Apple entre janvier et avril. Pour OpenEXR, elles ont été corrigées avec une version 2.4.1.

Dans un billet de blog, l'équipe Project Zero décrit comment de tels problèmes ont exposé à des attaques zéro-clic, sans une interaction de l'utilisateur, via par exemple des messageries populaires. " Il est probable que moyennant un effort suffisant, certaines des vulnérabilités découvertes peuvent être exploitées pour une exécution de code à distance dans un scénario d'attaque zéro-clic ", écrit Samuel Groß.

Il ajoute que " malheureusement, il est également probable que d'autres bugs subsistent ou seront introduits à l'avenir. " De quoi se faire l'avocat du fuzzing et manifestement lancer un appel du pied à Apple.

Pas sûr que le groupe de Cupertino appréciera, d'autant plus après les trouvailles de ZecOps avec Mail d'iOS et pour lesquelles le risque a été minimisé par Apple.