江苏龙网

  1. 首页 > 资讯 > 科技 > >

苹果:谷歌安全团队曝苹果 Image I/O 存重大漏洞,或可影响所有苹果设备

北京联盟_原题是:谷歌安全团队曝苹果 Image I/O 存重大漏洞 , 或可影响所有苹果设备
苹果:谷歌安全团队曝苹果 Image I/O 存重大漏洞,或可影响所有苹果设备
文章图片

文章图片

技术编辑:徐九丨发自 立夏了
SegmentFault 思否报道丨公众号:SegmentFault
【苹果:谷歌安全团队曝苹果 Image I/O 存重大漏洞,或可影响所有苹果设备】近日 , 谷歌宣布其在苹果公司的 Image I/O 中发现了安全漏洞 。在苹果官方声称这对用户没有风险且安全漏洞已得到修补后 , 谷歌旗下 Project Zero 团队概述了该漏洞的诸多细节 。根据爆料显示 , 若该漏洞被别有用心者利用 , 或导致用户遭遇“零点击”攻击 。
Image I/O 漏洞 , 或可影响所有苹果设备
对于苹果公司来说 , Image I/O 对其多媒体处理框架有着至关重要的意义 。Image I/O库是被 iOS、MacOS、WatchOS 和 TVOS 所共有的多媒体库 , 因此谷歌曝光的这一缺陷 , 几乎影响苹果的每一个主要平台 。
当通过文本、电子邮件或其他方式收到图像文件时 , 该图像将被传递到 OS 库 , 在该库中对其进行解析以确定它是什么 。由于不需要用户交互才能隐藏图像中的代码来运行这些缺陷 , 因此受到了黑客的追捧(因此 Google Project Zero 在苹果解决该缺陷之前就没有公开该缺陷) 。
谷歌 Project Zero 对此补充道 , 他们分析了 Image I/O 的「模糊处理」过程 , 以观察该框架是如何响应错误的图像文件格式的 。之所以选择这种方式 , 是因为苹果限制了对该工具大部分源代码的访问 。
经过研究 , 谷歌研究人员成功地找到了 Image I/O 中的六个漏洞、以及 OpenEXR 中的另外八个漏洞 , 后者正是苹果向第三方公开的「高动态范围(HDR)图像文件格式」框架 。
鉴于这是一种基于多媒体攻击的另一种流行途径 , 谷歌 Project Zero 团队建议苹果在操作系统库和 Messenger 应用中实施连续的「模糊测试」和「减少受攻击面」 , 后者包括以安全性的名义而减少对某些文件格式的兼容政策 。
据悉 , 苹果已经在 1 月和 4 月推出的安全补丁中 , 修复了与 Image I/O 有关的六个漏洞 。
谷歌 Project Zero 计划
苹果:谷歌安全团队曝苹果 Image I/O 存重大漏洞,或可影响所有苹果设备
文章图片

文章图片

Project Zero 是 Google 公司于 2014 年 7 月 15 日所公开的一个信息安全团队 , 此团队专责找出各种软件的安全漏洞 , 特别是零日漏洞 。此团队的领导者为曾任 Google Chrome 安全小组的克里斯·伊凡斯(Chris Evans) 。
该团队找出安全漏洞之后 , 会即时通知受影响软件的开发者 , 在开发者还没修补此漏洞前 , 不会对外公布 。但 90 天之后 , 无论原开发者是否已修复漏洞 , 都会自动公开 。
对此 , 谷歌官方表示:“我们的目的是为了大幅减少有针对性的网络攻击 。我们会聘请最好的、有想法且具备实践能力的安全研究人员来改善整个互联网的安全 , 并为之付出其 100% 的时间与精力 。


    推荐阅读


    上一篇:#系列#五四青年节,清华送祝福,荣耀30系列凭性能和影像实力圈粉

    下一篇:数码@了解Vivo手机几个小技巧,让您的手机变得更好用