Il 20 agosto, Apple ha rilasciato un aggiornamento di sicurezza non programmato per tutti i principali sistemi operativi: iOS, iPadOS, macOS e altre piattaforme. La patch risolve la vulnerabilità CVE-2025-43300 nel modulo ImageIO: un errore di buffer overflow che è stato risolto tramite un controllo dei limiti più rigoroso durante l’elaborazione delle immagini. La vulnerabilità ha ricevuto crescente attenzione: è stata segnalata come “sfruttata in attacchi reali” e senza l’intervento dell’utente.

Separatamente, WhatsApp ha rilasciato una correzione, sottolineando che gli aggressori potrebbero forzare il dispositivo della vittima a scaricare una risorsa da un URL arbitrario e ad avviarne l’elaborazione; si ritiene che questo problema possa essere stato parte di una catena di exploit con CVE-2025-43300.

I ricercatori hanno rapidamente smontato la patch e ne hanno individuato la causa principale. Secondo i loro dati, il problema si nasconde nel gestore del formato DNG, quando all’interno del “negativo digitale” vengono rilevati dati compressi dall’algoritmo JPEG Lossless. L’analisi dei file binari ha evidenziato il punto di modifica nel componente RawCamera all’interno di ImageIO. Le nuove build offrono un controllo aggiuntivo per superare i limiti durante la decompressione delle linee di immagine: sono stati aggiunti controlli per la dimensione del buffer allocato e la gestione delle eccezioni nel caso in cui la registrazione possa superare l’area valida.

L’essenza dell’errore è dovuta a una logica errata durante l’unpacking dei frame: il codice era guidato dal numero di “campioni per pixel” e si aspettava almeno due componenti, mentre il numero effettivo di componenti nel flusso poteva essere pari a uno.

A causa di questa discrepanza, il ciclo di unpacking è andato oltre il dovuto e ha scritto dati oltre i limiti della memoria allocata. In termini di formati, stiamo parlando di DNG in rappresentazione TIFF con “stringhe” (strisce), dove vengono utilizzati i campi RowsPerStrip, StripOffsets e StripByteCounts; a causa dell’errore nel tenere conto dei componenti e delle dimensioni delle righe, l’unpacker ha consentito un buffer overflow .

Gli sviluppatori e i reverse engineer hanno registrato una quantità minima di modifiche tra le versioni, come previsto per una patch non programmata, ma chiudono il pericoloso scenario “zero-click”. Secondo i ricercatori, la catena potrebbe essere attivata semplicemente ricevendo immagini tramite messenger o altri canali in cui le immagini vengono elaborate automaticamente dal sistema. Allo stesso tempo, i singoli servizi lungo il percorso di distribuzione potrebbero modificarne la qualità o i metadati, ma ciò non è critico per l’attivazione della vulnerabilità.

La conclusione è prevedibile ma importante: i parser dei formati multimediali sono uno dei punti più insidiosi di qualsiasi sistema. Il bug a livello di conteggio dei componenti e dimensione del buffer sembra ovvio quando si sa dove guardare, ma senza la patch era difficile da individuare: la funzione di unpacking è di grandi dimensioni, utilizza tabelle di Huffman, logica ramificata e l’infrastruttura a oggetti dei framework Apple. La correzione è semplice: gestione aggiuntiva del buffer e un crash iniziale durante il tentativo di sovrascrivere la memoria.

Si consiglia agli utenti di installare le versioni più recenti dei sistemi il prima possibile. Anche se la vulnerabilità è già stata risolta, casi come questo ci ricordano che qualsiasi analisi automatica di contenuti – immagini, documenti o archivi – richiede controlli e protezione rigorosi a livello di piattaforma.

L'articolo WhatsApp e Apple in emergenza: il bug DNG permette il controllo remoto senza click proviene da il blog della sicurezza informatica.