[博客翻译]爆破过去的WebP-NSO BLASTPASS iMessage漏洞分析
超越WebP:Project Zero对NSO集团iMessage漏洞BLASTPASS的剖析
引言
2023年9月7日,苹果公司发布了一个针对iOS的紧急安全更新,其中修复了两个被野外利用的零日漏洞。同时,公民实验室(Citizen Lab)发表了一篇博客文章,将这些修复与NSO集团的一次“零点击”攻击联系起来。这次攻击被称为BLASTPASS,能够无声无息地侵入iPhone设备。
本文将深入探讨BLASTPASS漏洞的技术细节,特别是围绕WebP图像格式中的缓冲区溢出漏洞展开,并解析攻击者如何巧妙利用这...