江苏龙网

  1. 首页 > 资讯 > 科技 > >

#CSDN#谷歌爆苹果 Image I/O 存重大漏洞,无辜用户躺枪


#CSDN#谷歌爆苹果 Image I/O 存重大漏洞,无辜用户躺枪
本文插图

作者 | 马超
责编 | 夕颜
封面图 | CSDN付费下载自视觉中国
出品 | CSDN(ID:CSDNnews)
4月28日 , 谷歌旗下的Project Zero信息安全团队公布了其在苹果公司的Image I/O 中发现的一些bug 。 Image I/O库是被iOS、MacOS、WatchOS 和 TVOS所共有的多媒体库 , 因此谷歌曝光的这一缺陷 , 几乎影响苹果的每一个主要平台 。 如果黑客利用这些漏洞加以攻击 , 那么很可能导致用户遭遇“零点击”攻击事件 。 不过值得庆幸的是在谷歌公布这些漏洞之前 , 苹果已经对其进行了修复 。
而该问题又是Image I/O图像格式解析器所造成的 , 我们知道黑客经常对于图像解析框架进行攻击 , 通过制作畸形的媒体文件 , 可以利用图像解析程序存在的漏洞 , 在目标主机上执行恶意代码 。
零日漏洞与Project Zero
我们知道在信息安全界 , 正规的团队都会选择在漏洞修复之后 , 再对漏洞进行公开 , 也就是漏洞公开时 , 其威胁已经不存在了 。 而“零日漏洞”(zero-day)则与这种正规渠道公布的漏洞相对应 , 也称零时差攻击 , 是指被发现后立即被恶意利用的安全漏洞 。 通俗地讲 , 即安全补丁与瑕疵曝光的同一日内 , 相关的恶意程序就出现 。 这种攻击往往具有很大的突发性与破坏性 。
虽然还没有出现大量的“零日漏洞”攻击 , 但其威胁日益增长 , 比如之前著名的勒索病毒WannaCry所利用的“永恒之蓝”就是一个典型的零日漏洞 , “永恒之蓝”造成150个国家、30万名用户中招 , 损失高达80亿美元 。
而为了应对零日漏洞 , 谷歌推出了Project Zero计划(官方博客:https://googleprojectzero.blogspot.com/) , 并表示:“我们的目的是为了大幅减少有针对性的网络攻击 。 我们会聘请最好的、有想法且具备实践能力的安全研究人员来改善整个互联网的安全 , 并为之付出其100%的时间与精力 。
Project Zero的阵容 , 有如“梦之队”一般的豪华 。 其团队成员包括曾在2013年发现存在于AdobeFlash及微软Office中大量漏洞的新西兰人本·霍克斯(Ben Hawkes)、英国知名“零日漏洞查杀”专家塔维斯·奥曼迪(Tavis Ormandy)、成功破解谷歌Chrome操作系统的乔治·霍兹以及曾经发现了苹果iOS、OSX和Safari浏览器多个漏洞的神秘瑞士黑客布雷特·伊恩·贝尔(Brit Ian Beer)等等 。 他们大多数都可以不在谷歌总部办公室办公 , 并使用专业的漏洞查找工具对目标软件进行扫描 , 从而发现有可能包含有漏洞的系统、软件设计 。 从目前的情况看Project Zero团队的确是致力于减少整体互联网的网络攻击 , 而并不仅将眼光局限于在谷歌自有的产品线 , 而且目前战功卓越 , 已经成功发现了如Windows记事本等多个高危漏洞 , 并阻止了互联网安全事件的发生 。
为什么多媒体组件是黑客最爱
在目前各类主流的操作系统当中 , 都会有文件的自动分类功能 , 用户可以在文件浏览器中对于如声音、视频、图片进行分类浏览 。 这也就是说任意一个新多媒体文件 , 都会自动地被操作系统解析 , 而这个解析操作是不需要与用户进行交互的 , 这也是此类事件被称为“零点击”漏洞的原因 。 而且多媒体解析类库 , 代码一般跨平台的 , 也就是其行为在各个操作系统相同 。
正是由于以上原因 , 使得多媒体解析类库成为黑客最理想的攻击点 , 因为它们能够在足够多数量的系统上运行恶意代码 , 甚至不需要与用户交互 。 黑客所要做的就是找到一种方法 , 将格式错误的多媒体文件发送到设备 , 等待文件处理 , 直到漏洞代码触发 。 在当今互联的世界中 , 交换图像和视频是最常见的用户交互之一 。 因此 , 将恶意代码隐藏在通过短信、电子邮件或社交发送的图像中 , 是非常隐蔽而且高效的攻击方法 。


推荐阅读


上一篇:##iPhone 11领衔:DxOMark将连发五款相机自拍成绩

下一篇:【驱动之家】Win 10市场份额罕见倒退:win7也跌了 Linux暴增111%