Lamiyi

Pod2g は、Corona のアンテザード脱獄がどのように機能するかについての詳細を投稿しました。

pod2g 氏は自身のブログの新しい投稿で、Apple が iOS 5.0 で署名されていないバイナリを実行するこれまでの既知の方法をすべて修正したため、Corona は別の方法で実行する必要があったと指摘しています。

Coronaでは、Mach-Oローダーを使わずに起動時に署名なしコードを起動する方法を探しました。そのため、標準的なlaunchd plistメカニズムを使って呼び出せる既存のAppleバイナリの脆弱性を探しました。
ファジングツールを使って数時間作業した結果、racoonの設定解析コードにフォーマット文字列の脆弱性があることを発見しました。racoonはIPsec IKEデーモンです（http://ipsec-tools.sourceforge.net/）。iOSにはデフォルトで搭載されており、IPsec接続を設定すると起動されます。

これでお分かりですね。Corona は racoon のアナグラムです :-) 。

Pod2g は、ROP エクスプロイトのペイロードが、彼が以前に発見した HFS ヒープ オーバーフロー バグを利用するカーネル エクスプロイトをトリガーすると指摘しています。

カーネルコードで何が起こっているのか正確には分かりません。正確には解明できていませんでしたが、HFS btreeパーサーのファジングで原因が分かりました。ゾーンアロケータのヒープオーバーフローだと気づいたので、ヒープ風水のように、クリーンなイメージ、オーバーフローしたイメージ、ペイロードイメージをマウントしてみました :-) そして、うまくいきました :p この件に関する論文を提供してくれた@i0n1cに感謝します。

続きを読む