周二的時候，谷歌公布其在蘋果公司的圖像 I/O 中發(fā)現(xiàn)了當(dāng)前已被修復(fù)的一些 bug 。對于該公司的平臺來說，Image I/O 對其多媒體處理框架有著至關(guān)重要的意義。ZDNet 報道稱，谷歌旗下 Project Zero 團隊在周二概述了該漏洞的諸多細(xì)節(jié)。若被別有用心者利用，或?qū)е掠脩粼庥?ldquo;零點擊”攻擊。

資料圖（來自：Apple）

　　據(jù)悉，Image I/O 隨 iOS、macOS、watchOS 和 tvOS 一起向應(yīng)用開發(fā)者提供。因此谷歌曝光的這一缺陷，幾乎影響蘋果的每一個主要平臺。

　　問題可追溯到圍繞圖像格式解析器的一些老生常談的問題，這些特殊的框架很適合被黑客利用。通過編造畸形的媒體文件，便可在目標(biāo)系統(tǒng)上運行無需用戶干預(yù)的“零點擊”代碼。

　　谷歌 Project Zero 補充道，他們分析了 Image I/O 的“模糊處理”過程，以觀察該框架是如何響應(yīng)錯誤的圖像文件格式的。之所以選擇這項技術(shù)，是因為蘋果限制了對該工具大部分源代碼的訪問。

　　結(jié)果是，谷歌研究人員成功地找到了 Image I/O 中的六個漏洞、以及 OpenEXR 中的另外八個漏洞，后者正是蘋果向第三方公開的“高動態(tài)范圍（HDR）圖像文件格式”的框架。

　　谷歌 Project Zero 安全研究人員 Samuel Groß 寫道：“經(jīng)過足夠的努力，以及由于自動重啟服務(wù)而授予的利用嘗試，我們發(fā)現(xiàn)某些漏洞可被利用開執(zhí)行‘零點擊’的遠(yuǎn)程代碼”。

　　鑒于這是一種基于多媒體攻擊的另一種流行途徑，其建議蘋果在操作系統(tǒng)庫和 Messenger 應(yīng)用中實施連續(xù)的“模糊測試”和“減少受攻擊面”，后者包括以安全性的名義而減少對某些文件格式的兼容政策。

　　最后需要指出的是，蘋果已經(jīng)在 1 月和 4 月推出的安全補丁中，修復(fù)了與 Image I/O 有關(guān)的六個漏洞。

總結(jié)

以上是生活随笔為你收集整理的谷歌披露影响苹果全平台的Image I/O零点击漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。