Версии Ghidra до 12.0.3 неправильно обрабатывают директивы аннотаций, встроенные в автоматически извлекаемые двоичные данные, что приводит к произвольному выполнению команд при взаимодействии аналитика с пользовательским интерфейсом. В частности, аннотация @execute (предназначенная для надежных комментариев, созданных пользователем) также анализируется в комментариях, созданных во время автоматического анализа (например, CFStrings в двоичных файлах Mach-O). Это позволяет созданному двоичному файлу представлять, казалось бы, безобидный текст, кликабельный по которому, при нажатии на который выполняются команды, контролируемые злоумышленником, на компьютере аналитика.
Показать оригинальное описание (EN)
Ghidra versions prior to 12.0.3 improperly process annotation directives embedded in automatically extracted binary data, resulting in arbitrary command execution when an analyst interacts with the UI. Specifically, the @execute annotation (which is intended for trusted, user-authored comments) is also parsed in comments generated during auto-analysis (such as CFStrings in Mach-O binaries). This allows a crafted binary to present seemingly benign clickable text which, when clicked, executes attacker-controlled commands on the analyst’s machine.
Характеристики атаки
Последствия
Строка CVSS v3.1