江苏龙网

  1. 首页 > 资讯 > 科技 > >

#CSDN#谷歌爆苹果 Image I/O 存重大漏洞,无辜用户躺枪( 二 )


本次漏洞的主角Image I/O , 就是苹果用于Apple 设备中的图像解析处理类库 。 由于其在 Apple 应用生态系统中的核心角色 , Image I/O 是一个危险的攻击表面 , 它本质上为任何攻击者提供零点击入侵媒介 , 所以需要尽可能保证安全 。
谷歌Project Zero团队成员介绍 , 由于苹果并未开放Image I/O源码 , 因此他们使用了模糊技术 , 来测试Image I/O如何处理格式错误的图像文件 。 模糊过程为Image I/O提供意外输入 , 以便检测框架代码中未来攻击的异常和潜在入口点 , 最终Project Zero团队在ImageI/O中发现了6个漏洞 , 在Image I/O集成的另一开源库OpenEXR中 , 发现了另外8个漏洞 。 不过谷歌并没有验证这些漏洞能否被用来获取设备的最高权限 , 因为这不是他们工作的目的 。 但笔者相信这些漏洞中 , 肯定存在最高级别的安全缺陷 。
然而Project Zero团队成员也警告 , 由于缺乏可见性和对框架源代码的访问 , 他的工作很可能不完整 。 目前发现的漏洞应该仅仅是对ImageI/O和其他苹果图像与多媒体处理组件问题暴露的开始 , 这些图像类库对于非法黑客来说 , 极具吸引力 , 正如前文所述有关图像的类型漏洞 , 都可以用于创造“零点击”攻击 。
目前最简单的规避方法 , 是将Image I/O 进行分拆 , 比如在 Stagefright 漏洞暴发后 , Google就将MediaServer 类库进行了拆分 , 并授予不同访问权限的保护 , 使攻击更难实现 , 当然直接使用安卓的MediaServer类库 , 可能对于苹果来说也是个不错的办法 。
后记
【#CSDN#谷歌爆苹果 Image I/O 存重大漏洞,无辜用户躺枪】随着全球间谍软件和监控软件供应商数量的增加 , 黑客们都在寻找破坏系统的简便、高效方法 , 而图像解析类库则提供了其中最为便捷的方式 。 正所谓魔高一迟 , 道高一丈 , 据笔者观察 , 在信息安全方面 , 红方占优的情况 , 正发生着慢慢的变化 , 因此还需要业界高度重视安全方面的新动向 , 以防勒索病毒的悲剧在IT界发生 。


推荐阅读


上一篇:##iPhone 11领衔:DxOMark将连发五款相机自拍成绩

下一篇:【驱动之家】Win 10市场份额罕见倒退:win7也跌了 Linux暴增111%