CVE-2019-6231漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2>
CVE-2019-6231是Apple macOS和iOS系统中QuartzCore(又称CoreAnimation)框架中的一个安全漏洞，于2019年1月22日在macOS Mojave 10.14.3和iOS 12.1.3版本中被修复。该漏洞是一个整数溢出漏洞，可能导致恶意应用程序读取受限制的内存。<\/p>

受影响系统<\/h2>

macOS Sierra 10.12.6<\/li>
macOS High Sierra 10.13.6<\/li>
macOS Mojave 10.14.2<\/li>
iPhone 5s及更高版本<\/li>
iPad Air及更高版本<\/li>

iPod touch第6代<\/li> <\/ul>

技术背景<\/h2>

QuartzCore框架<\/h3>

QuartzCore(也称为CoreAnimation)是macOS和iOS用来创建动画场景图形的框架。其特点包括：<\/p>

使用独特的渲染模型，图形操作单独运行<\/li>
在macOS上，该过程类似于WindowServer<\/li>

在iOS上，该过程在后台运行<\/li> <\/ul>

CARenderServer服务<\/h3>

QuartzCore中名为com.apple.CARenderServer<\/code>的服务通常被称为CARenderServer：<\/p>


存在于macOS和iOS中<\/li>
普通用户可以从Safari Sandbox访问<\/li>
通过Mach消息进行通信<\/li>
<\/ul>
漏洞分析<\/h2>
漏洞位置<\/h3>
漏洞存在于QuartzCore处理图像对象时的函数CA::Render::Image::decode()<\/code>中，具体是一个整数溢出问题。<\/p>
崩溃分析<\/h3>
崩溃日志显示问题发生在WindowServer进程的com.apple.coreanimation.render-server<\/code>线程中：<\/p>
Exception Type: EXC_BAD_ACCESS (SIGSEGV)
Exception Codes: KERN_INVALID_ADDRESS at 0x0000008000000018
<\/code><\/pre>
调用栈回溯显示崩溃发生在CFRetain<\/code>函数调用时，原因是尝试访问无效内存地址。<\/p>
漏洞触发流程<\/h3>

客户端通过Mach消息与CARenderServer服务通信<\/li>
服务处理命令流时调用CA::Render::Server::ReceivedMessage::run_command_stream()<\/code><\/li>
解码Layer对象时调用CA::Render::Layer::Layer()<\/code><\/li>
Layer对象包含Image对象，调用CA::Render::Image::decode()<\/code><\/li>
Image解码时存在整数溢出漏洞<\/li>
导致后续CA::Render::Texture::decode()<\/code>和CA::Render::Decoder::decode_colorspace()<\/code>处理异常<\/li>
最终在CFRetain<\/code>调用时访问无效内存导致崩溃<\/li>
<\/ol>
关键漏洞点<\/h3>
在CA::Render::validate_rowbytes<\/code>函数中：<\/p>
\/\/ 伪代码
<\/span><\/span><\/span><\/span>bool<\/span> validate_rowbytes<\/span>(int<\/span> a1, size_t a2, size_t *<\/span>a3) {
<\/span><\/span>    for<\/span>(int<\/span> v4 =<\/span> 0<\/span>; v4 <<\/span> a1; ++<\/span>v4) {
<\/span><\/span>        size_t v6 =<\/span> a2 *<\/span> a3[v4];  \/\/ 整数溢出点
<\/span><\/span><\/span><\/span>        if<\/span>(v6 ><\/span> 0x7FFFFFFF<\/span>)
<\/span><\/span>            return<\/span> false;
<\/span><\/span>    }
<\/span><\/span>    return<\/span> true;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>当a2<\/code>为0x24，a3[v4]<\/code>为0x8000000000000300时，乘法运算会导致整数溢出，使函数返回0而非1，改变了正常执行流程。<\/p>
漏洞利用<\/h2>
PoC代码结构<\/h3>
PoC主要分为两部分：<\/p>

注册客户端：发送msgh_id为40202的Mach消息(_XRegisterClient)<\/li>
发送恶意消息：发送精心构造的msgh_id为40002的Mach消息触发漏洞<\/li>
<\/ol>
关键步骤<\/h3>

获取CARenderServer服务端口：<\/li>
<\/ol>
bootstrap_look_up(bs_port, "com.apple.CARenderServer"<\/span>, &<\/span>p);
<\/span><\/span><\/code><\/pre>
注册客户端获取连接ID：<\/li>
<\/ol>
quartz_register_client_t msg_register;
<\/span><\/span>\/\/ 设置msg_register结构体
<\/span><\/span><\/span><\/span>mach_msg(&<\/span>msg_register.header, MACH_SEND_MSG |<\/span> MACH_RCV_MSG, ...);
<\/span><\/span><\/code><\/pre>
构造并发送恶意消息：<\/li>
<\/ol>
quartzcore_mach_msg_t qc_mach_msg =<\/span> {0<\/span>};
<\/span><\/span>\/\/ 设置消息头
<\/span><\/span><\/span><\/span>*<\/span>(uint32_t<\/span> *<\/span>)(qc_mach_msg.msg_body +<\/span> 4<\/span> +<\/span> 12<\/span> +<\/span> 4<\/span>) =<\/span> conn_id; \/\/ 设置连接ID
<\/span><\/span><\/span><\/span>mach_msg(&<\/span>qc_mach_msg.header, MACH_SEND_MSG, ...);
<\/span><\/span><\/code><\/pre>消息构造技巧<\/h3>
通过二进制diff工具分析，只需将偏移量0x142处的一个字节从0x00修改为0x80即可触发漏洞：<\/p>

修改前：00 03 00 00 00 00 00 00<\/code><\/li>
修改后：00 03 00 00 00 00 00 80<\/code><\/li>
<\/ul>
调试方法<\/h2>
动态调试WindowServer<\/h3>
需要通过SSH模式调试WindowServer进程：<\/p>

设置条件断点：<\/li>
<\/ol>
br s -n CA::Render::Server::ReceivedMessage::run_command_stream
<\/span><\/span>br mod -c '*(int*)($r13+0x2c) == [conn_id]'<\/span>
<\/span><\/span><\/code><\/pre>
获取连接ID：<\/li>
<\/ol>
(<\/span>lldb)<\/span> p\/x conn_id
<\/span><\/span><\/code><\/pre>
检查消息缓冲区：<\/li>
<\/ol>
(<\/span>lldb)<\/span> x -c 0x2e0 0x000070000cc51ca0
<\/span><\/span><\/code><\/pre>关键函数断点<\/h3>

CA::Render::Server::ReceivedMessage::run_command_stream()<\/code><\/li>
CA::Render::Image::decode()<\/code><\/li>
CA::Render::validate_rowbytes<\/code><\/li>
CA::Render::Decoder::decode_colorspace<\/code><\/li>
<\/ul>
漏洞修复<\/h2>
Apple在macOS Mojave 10.14.3和iOS 12.1.3中修复了此漏洞，主要修复点包括：<\/p>

在CA::Render::validate_rowbytes<\/code>中添加了更严格的边界检查<\/li>
改进了CA::Render::Image::decode()<\/code>中的整数处理<\/li>
增加了对颜色空间索引的有效性验证<\/li>
<\/ol>
参考链接<\/h2>

Apple安全更新说明<\/a><\/li>
Apple安全更新说明(iOS)<\/a><\/li>
Fortinet原始分析报告<\/a><\/li>
<\/ol>
总结<\/h2>
CVE-2019-6231是一个典型的整数溢出漏洞，通过精心构造的Mach消息触发，最终导致内存读取越界。该漏洞展示了：<\/p>

Mach服务在系统安全中的重要性<\/li>
整数溢出可能导致的严重后果<\/li>
复杂对象解码过程中的安全隐患<\/li>
系统服务崩溃可能导致的安全问题<\/li>
<\/ol>
理解此类漏洞有助于提高对系统级安全问题的认识，并在开发中避免类似错误。<\/p>

CVE-2019-6231漏洞分析与利用教学文档<\/h1>

技术背景<\/h2>

漏洞分析<\/h2>

漏洞位置<\/h3> 漏洞存在于QuartzCore处理图像对象时的函数CA::Render::Image::decode()<\/code>中，具体是一个整数溢出问题。<\/p>

调试方法<\/h2>

漏洞位置<\/h3>
漏洞存在于QuartzCore处理图像对象时的函数`CA::Render::Image::decode()<\/code>中，具体是一个整数溢出问题。<\/p>`