macOS Dock 服务未初始化指针漏洞分析 (ZDI-18-781\/CVE-2018-4196)<\/h1>

漏洞概述<\/h2>
本漏洞是2018年Pwn2Own大赛中MWR实验室攻破苹果Safari浏览器的沙箱逃逸漏洞，编号为ZDI-18-781\/CVE-2018-4196。该漏洞存在于macOS Dock服务中，涉及未初始化指针的使用，最终导致任意代码执行。<\/p>

漏洞背景<\/h2>

漏洞类型：未初始化指针漏洞<\/li>
影响组件：macOS Dock服务<\/li>
利用场景：Safari浏览器沙箱逃逸<\/li>
发现者：MWR实验室<\/li>
相关CVE：CVE-2018-4196<\/li>

漏洞价值：Pwn2Own大赛获胜漏洞<\/li> <\/ul>

技术细节<\/h2>

1. 攻击面分析<\/h3>
macOS中的Dock服务通过Mach服务"com.apple.dock.server"提供接口，这些函数大量使用HIServices框架提供的序列化功能。<\/p>

2. 漏洞触发点<\/h3>

漏洞在DSSetDesktopForDisplayAndSpace<\/code>函数中触发，当发送ID为96548的Mach消息时：<\/p>

; 函数开始部分
; 在调用_UnserializeCFType之前，堆栈上已经初始化了一些变量
<\/code><\/pre>
3. 关键函数分析<\/h3>
_UnserializeCFType函数<\/h4>
该函数存在于HIServices框架中，其伪代码如下：<\/p>
if<\/span> (第四个参数<\/span> >=<\/span> 8<\/span>) {
<\/span><\/span>    初始化第五个参数为<\/span>NULL;
<\/span><\/span>    尝试基于数据类型进行反序列化<\/span>;
<\/span><\/span>    if<\/span> (反序列化成功<\/span>) {
<\/span><\/span>        将新创建对象的指针存储在第五个参数中<\/span>;
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>DSSetDesktopForDisplayAndSpace函数<\/h4>
该函数的关键问题在于：<\/p>

传递给UnserializeCFType<\/code>函数的栈上变量未被初始化<\/li>
只有当UnserializeCFType<\/code>的第二个参数≥8时，才会初始化指针<\/li>
随后对该栈变量调用objc_autorelease<\/code>函数<\/li>
<\/ol>
4. 漏洞原理<\/h3>
漏洞的根本原因是：<\/p>

未初始化的栈变量被直接传递给objc_autorelease<\/code><\/li>
攻击者可以控制栈上的内容，从而控制被释放的指针<\/li>
通过精心构造的Mach消息，可以控制代码执行流程<\/li>
<\/ul>
5. 利用技术<\/h3>
MWR团队通过以下方式利用该漏洞：<\/p>

使用包含push rbx<\/code>指令的函数进行利用<\/li>
该指令与未初始化栈变量的偏移量对齐<\/li>
执行时，rbx<\/code>寄存器指向Mach消息中的40个字节<\/li>
控制objc_autorelease<\/code>最终操作的指针对象<\/li>
<\/ol>
6. 相关函数<\/h3>
共有8个函数包含类似的易受攻击代码逻辑：<\/p>

未初始化第4个参数<\/li>
或未检查返回值的情况下调用_UnserializeCFType<\/code>函数<\/li>
<\/ul>
正确的实现应：<\/p>

检查_UnserializeCFType<\/code>函数的返回值<\/li>
确保函数执行成功<\/li>
将作为参数传递的堆栈变量初始化为NULL<\/li>
<\/ol>
历史相关漏洞<\/h2>


ZDI-16-282<\/strong> (2016年)<\/p>

发现者：lokihardt<\/li>
影响：Microsoft Edge浏览器<\/li>
利用链：处理'Array.concat'函数时的未初始化堆栈变量<\/li>
<\/ul>
<\/li>

ZDI-17-237<\/strong> (2017年)<\/p>

发现者：360安全团队<\/li>
影响：VMware Workstation<\/li>
效果：客户机逃逸到宿主机操作系统<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞防护建议<\/h2>

对所有指针变量进行初始化<\/li>
严格检查函数返回值<\/li>
对Mach消息进行严格的边界检查<\/li>
使用安全的序列化\/反序列化实践<\/li>
启用现代编译器的安全特性（如自动初始化）<\/li>
<\/ol>
总结<\/h2>
该漏洞展示了未初始化指针在macOS系统服务中的危险性，特别是在Mach服务交互场景下。通过精心构造的Mach消息，攻击者可以控制程序执行流程，最终实现沙箱逃逸。这类漏洞在Pwn2Own等高级攻击场景中经常出现，需要开发者特别注意内存安全编程实践。<\/p>

macOS Dock 服务未初始化指针漏洞分析 (ZDI-18-781\/CVE-2018-4196)<\/h1>

漏洞概述<\/h2> 本漏洞是2018年Pwn2Own大赛中MWR实验室攻破苹果Safari浏览器的沙箱逃逸漏洞，编号为ZDI-18-781\/CVE-2018-4196。该漏洞存在于macOS Dock服务中，涉及未初始化指针的使用，最终导致任意代码执行。<\/p>

技术细节<\/h2>

1. 攻击面分析<\/h3> macOS中的Dock服务通过Mach服务"com.apple.dock.server"提供接口，这些函数大量使用HIServices框架提供的序列化功能。<\/p>

3. 关键函数分析<\/h3>

漏洞概述<\/h2>
本漏洞是2018年Pwn2Own大赛中MWR实验室攻破苹果Safari浏览器的沙箱逃逸漏洞，编号为ZDI-18-781\/CVE-2018-4196。该漏洞存在于macOS Dock服务中，涉及未初始化指针的使用，最终导致任意代码执行。<\/p>

1. 攻击面分析<\/h3>
macOS中的Dock服务通过Mach服务"com.apple.dock.server"提供接口，这些函数大量使用HIServices框架提供的序列化功能。<\/p>