江苏龙网

  1. 首页 > 人文 > >

[Google]谷歌披露影响苹果全平台的Image Iu002FO零点击漏洞


周二的时候 , 谷歌公布其在苹果公司的图像 I/O 中发现了当前已被修复的一些 bug。 对于该公司的平台来说 , Image I/O 对其多媒体处理框架有着至关重要的意义 。 ZDNet 报道称 , 谷歌旗下 Project Zero 团队在周二概述了该漏洞的诸多细节 。 若被别有用心者利用 , 或导致用户遭遇“零点击”攻击 。
[Google]谷歌披露影响苹果全平台的Image Iu002FO零点击漏洞
本文插图
资料图(来自:Apple)
据悉 , Image I/O 随 iOS、macOS、watchOS 和 tvOS 一起向应用开发者提供 。 因此谷歌曝光的这一缺陷 , 几乎影响苹果的每一个主要平台 。
问题可追溯到围绕图像格式解析器的一些老生常谈的问题 , 这些特殊的框架很适合被黑客利用 。 通过编造畸形的媒体文件 , 便可在目标系统上运行无需用户干预的“零点击”代码 。
谷歌 Project Zero 补充道 , 他们分析了 Image I/O 的“模糊处理”过程 , 以观察该框架是如何响应错误的图像文件格式的 。 之所以选择这项技术 , 是因为苹果限制了对该工具大部分源代码的访问 。
结果是 , 谷歌研究人员成功地找到了 Image I/O 中的六个漏洞、以及 OpenEXR 中的另外八个漏洞 , 后者正是苹果向第三方公开的“高动态范围(HDR)图像文件格式”的框架 。
谷歌 Project Zero 安全研究人员 Samuel Gro? 写道:“经过足够的努力 , 以及由于自动重启服务而授予的利用尝试 , 我们发现某些漏洞可被利用开执行‘零点击’的远程代码” 。
鉴于这是一种基于多媒体攻击的另一种流行途径 , 其建议苹果在操作系统库和 Messenger 应用中实施连续的“模糊测试”和“减少受攻击面” , 后者包括以安全性的名义而减少对某些文件格式的兼容政策 。
【[Google]谷歌披露影响苹果全平台的Image Iu002FO零点击漏洞】最后需要指出的是 , 苹果已经在 1 月和 4 月推出的安全补丁中 , 修复了与 Image I/O 有关的六个漏洞 。


    推荐阅读


    上一篇:创投时报■魅族17Pro定档5月,新功能提前确定,“性能猛兽”即将出笼

    下一篇: 『催化』兰州市出台新办法,打破项目谋划和催化熟化瓶颈制约