谷歌披露影响苹果全平台的image i/o零点击漏洞-尊龙凯时官方旗舰店

周二的时候，谷歌公布其在苹果公司的图像 i/o 中发现了当前已被修复的一些 bug 。对于该公司的平台来说，image i/o 对其多媒体处理框架有着至关重要的意义。zdnet 报道称，谷歌旗下 project zero 团队在周二概述了该漏洞的诸多细节。若被别有用心者利用，或导致用户遭遇“零点击”攻击。

资料图（来自：apple）

据悉，image i/o 随 ios、macos、watchos 和 tvos 一起向应用开发者提供。因此谷歌曝光的这一缺陷，几乎影响苹果的每一个主要平台。

问题可追溯到围绕图像格式解析器的一些老生常谈的问题，这些特殊的框架很适合被黑客利用。通过编造畸形的媒体文件，便可在目标系统上运行无需用户干预的“零点击”代码。

谷歌 project zero 补充道，他们分析了 image i/o 的“模糊处理”过程，以观察该框架是如何响应错误的图像文件格式的。之所以选择这项技术，是因为苹果限制了对该工具大部分源代码的访问。

结果是，谷歌研究人员成功地找到了 image i/o 中的六个漏洞、以及 openexr 中的另外八个漏洞，后者正是苹果向第三方公开的“高动态范围（hdr）图像文件格式”的框架。

谷歌 project zero 安全研究人员 samuel groß 写道：“经过足够的努力，以及由于自动重启服务而授予的利用尝试，我们发现某些漏洞可被利用开执行‘零点击’的远程代码”。

鉴于这是一种基于多媒体攻击的另一种流行途径，其建议苹果在操作系统库和 messenger 应用中实施连续的“模糊测试”和“减少受攻击面”，后者包括以安全性的名义而减少对某些文件格式的兼容政策。

最后需要指出的是，苹果已经在 1 月和 4 月推出的安全补丁中，修复了与 image i/o 有关的六个漏洞。