Google Project Zero团队的安全研究人员发布了去年修复的iMessage漏洞的技术详情，远程攻击者可利用该漏洞执行任意代码。

该漏洞编号为CVE-2019-8641，CVSS评分为9.8，是个超危漏洞。该漏洞是由GoogleProject Zero的安全研究人员SamuelGroß和Natalie Silvanovich发现的。

2019年9月，苹果为iPhone 5s，iPhone 6，iPhone 6 Plus，iPad Air，iPad mini 2，iPad mini 3，和iPod touch第6代发布iOS 12.4.2版本，，修复了该漏洞。苹果当时表示，通过优化输入验证，解决了该越界读取漏洞。

苹果同时在macOS Mojave 10.14.6版本，watchOS5.3.2版本和tvOS12.4版本中修复了该漏洞。远程攻击者可利用该漏洞造成应用程序意外终止或执行任意代码。

根据Project Zero的安全研究人员的说法，苹果在2019年8月发布了iOS 12.4.1版本，实际上苹果从那时起就开始推送该漏洞的补丁，iOS 12.4.1版本进行了加固，防止该漏洞遭到远程利用。

Groß现在披露该漏洞的进一步详情。他解释道，知晓用户Apple ID（手机电话号码或电子邮件地址）的攻击者可利用该漏洞在数分钟内控制一台iOS设备。

攻击者接着可以窃取文件，密码，身份验证码，电子邮件，SMS和其他信息及数据。并且，他们可以借助设备的麦克风和摄像头监控用户，所有这些都不需要用户交互或指示器。

Groß表示，通过利用CVE-2019-8641，攻击者可以绕过ASLR，接着在沙盒之外执行代码。Project Zero已经发布了针对基于iOS 12.4版本的iPhone XS的PoC代码。

为了防止滥用，该PoC代码特意告警正在遭受攻击的受害者，且有意没有达成本地代码执行，但是技术熟练的攻击者可能毫不费力就可以根据自己的需要改写该PoC（Groß说，攻击者可能已经有能力利用该漏洞了）。

Groß解释，在用户收到通知和信息被写入到数据库之前，iMessages就通过多个服务和框架传递信息。远程攻击面包括iMessage数据格式和NSKeyedUnarchiver API。

CVE-2019-8641存在于NSKeyedUnarchiver组件中，攻击者可以借助iMessage发送特制的payload触发该漏洞。在接收者的设备上，会使用NSKeyedUnarchiver API解码ati域中的数据，在解压NSSharedKeyDictionary的过程中会触发该漏洞。

研究人员发现，在解压过程中，循环的对象图表会被解码，意味着在调用栈中进一步解压的过程中，会引用一个对象。当引用对象的时候，如该对象未能完全初始化，则在反序列号过程中会出现内存损坏。

为了修复该漏洞，苹果先是在iOS 12.4.1版本中让脆弱的代码无法通过iMessage访问，接着在后续更新中完全修复了该漏洞。截至iOS 13版本，对NSKeyedUnarchiver的解码只在沙盒化的IMDPersistenceAgent中进行，而不在SpringBoard中。

本文主要源自Security Week，作者Ionut Arghire，译文略有删改，转载请注明出处。