Como quebrar o ImageIO com um único arquivo .exr

Billy Ellis (ZygoSec, London) publicou uma pesquisa PoC demonstrando uma vulnerabilidade de estouro de inteiro no ImageIO da Apple — o framework usado pelo macOS e iOS para processar arquivos de imagem.

Ao decodificar imagens OpenEXR (.exr), a função decodeBlockAppleEXR calcula o tamanho do buffer dataWindow como largura × altura. Ao escolher valores específicos, um atacante pode acionar um estouro de inteiro que envolve o resultado para zero. Como resultado, o malloc aloca apenas 16 bytes de memória, enquanto uma chamada subsequente para AppleEXRDestinationNotBigEnough tenta gravar um byte NULL no final do buffer alocado.
Aproximadamente 20% das vezes, o endereço de destino aponta para memória válida, permitindo que a gravação do byte NULL seja bem-sucedida e o processo continue executando com memória corrompida.

🎯Por que importa: esta vulnerabilidade pode levar à corrupção de memória variando de negação de serviço (DoS) a potencial execução remota de código (RCE). O ataque pode ser acionado através de qualquer aplicativo que dependa do ImageIO, incluindo mensageiros, clientes de e-mail, navegadores e serviços de visualização de arquivos.

🛠A Apple corrigiu o problema no iOS/macOS 26.5 (11 de maio de 2026)

🦠O PoC está provavelmente relacionado ao CVE‑2026‑43661 ou CVE‑2026‑28990

🔗Artigo: https://zygosec.com/blog ⚙️PoC: https://github.com/Billy-Ellis/exr-imageio-poc

💬 Discutir